GitHub 最近發布了 NPM 生態系統的一些變化 關於已經出現的安全問題,最近的一個問題是一些攻擊者設法控制了 coa NPM 包並發布了更新 2.0.3、2.0.4、2.1.1、2.1.3 和 3.1.3。 XNUMX,其中包括惡意更改。
與此相關以及隨著存儲庫緝獲率的增加 大項目 並宣傳惡意代碼 通過破壞開發者帳戶,GitHub 引入了擴展帳戶驗證。
另外,對於 500 個最流行的 NPM 包的維護者和管理員,將在明年初引入強制性的雙因素身份驗證。
7年2021月4日至2022年XNUMX月XNUMX日, 所有有權發布 NPM 包的維護者,但 不使用雙因素身份驗證的人,將轉為使用擴展帳戶驗證. 擴展驗證涉及在嘗試進入 npmjs.com 站點或在 npm 實用程序中執行經過身份驗證的操作時需要輸入通過電子郵件發送的唯一代碼。
擴展驗證不會取代而只是補充可選的兩因素身份驗證 以前可用,這需要驗證一次性密碼 (TOTP)。 擴展電子郵件驗證不適用 啟用雙因素身份驗證時。 從 1 年 2022 月 100 日開始,將開始對 XNUMX 個最流行的具有最多依賴關係的 NPM 包進行強制雙因素身份驗證。
今天,我們將在 npm 註冊表中引入改進的登錄驗證,我們將從 7 月 4 日開始到 2 月 XNUMX 日為維護者分階段推出。 有權訪問發布包但未啟用雙因素身份驗證 (XNUMXFA) 的 Npm 註冊表維護人員在通過 npmjs.com 網站或 Npm CLI 進行身份驗證時將收到一封帶有一次性密碼 (OTP) 的電子郵件。
在進行身份驗證之前,除了用戶的密碼之外,還需要提供此通過電子郵件發送的 OTP。 這一額外的身份驗證層有助於防止使用用戶已洩露和重複使用的密碼的常見帳戶劫持攻擊,例如憑據填充。 值得注意的是,增強登錄驗證旨在為所有發布商提供額外的基本保護。 它不能替代 2FA、NIST 800-63B。 我們鼓勵維護者選擇 2FA 身份驗證。 通過這樣做,您將不需要執行增強的登錄驗證。
完成前一百個遷移後,更改將傳播到 500 個最流行的 NPM 包 在依賴項的數量方面。
除了目前可用的用於生成一次性密碼的基於應用程序的兩因素身份驗證方案(Authy、Google Authenticator、FreeOTP 等), 2022 年 XNUMX 月,他們計劃增加使用硬件鑰匙和生物識別掃描儀的功能 支持 WebAuthn 協議,以及註冊和管理各種附加身份驗證因素的能力。
回想一下,根據 2020 年進行的一項研究,只有 9.27% 的包管理器使用雙因素身份驗證來保護訪問,並且在 13.37% 的情況下,在註冊新帳戶時,開發人員試圖重複使用已知密碼中出現的已洩露密碼.
在密碼強度分析期間 用過的, 訪問了 NPM 中 12% 的帳戶 (13% 的軟件包)由於使用了可預測的簡單密碼,例如“123456”。 其中有問題的有4個最流行軟件包的20個用戶帳戶,每月軟件包下載量超過13萬次的帳戶有50個,每月下載量超過40萬次的帳戶有10個,每月下載量超過282萬次的帳戶有1個。 考慮到依賴鏈上模塊的負載,破壞不受信任的帳戶可能會影響 NPM 中多達 52% 的所有模塊。
終於 如果您有興趣了解更多信息, 您可以在原始註釋中查看詳細信息 在下面的鏈接中。