GitHub በNPM ጥቅል ማከማቻ መሠረተ ልማት ውስጥ ሁለት ክስተቶችን አሳውቋል። እ.ኤ.አ. በኖቬምበር 2፣ የሶስተኛ ወገን የደህንነት ተመራማሪዎች (Kajetan Grzybowski እና Maciej Piechota) እንደ የ Bug Bounty ፕሮግራም አካል በNPM ማከማቻ ውስጥ የተጋላጭነት መኖር እንዳለ ሪፖርት አድርገዋል መለያዎን ተጠቅመው የማንኛውም ጥቅል አዲስ ስሪት እንዲያትሙ ያስችልዎታል። እንደዚህ ያሉ ዝመናዎችን ለማከናወን ያልተፈቀደ.
ተጋላጭነቱ የተከሰተው ለNPM ጥያቄዎችን በሚያስኬዱ የማይክሮ ሰርቪስ ኮድ ትክክል ባልሆኑ የፍቃድ ፍተሻዎች ነው። የፈቃድ አገልግሎቱ በጥያቄው ውስጥ በተላለፈው ውሂብ ላይ በመመስረት የጥቅል ፍቃድ ፍተሻዎችን አድርጓል፣ ነገር ግን ሌላ ዝመናውን ወደ ማከማቻው የሰቀለ አገልግሎት በተሰቀለው ፓኬጅ ሜታዳታ ይዘት ላይ በመመስረት ጥቅሉን እንዲታተም ወስኗል። ስለዚህ አንድ አጥቂ ለፓኬጁ ማሻሻያ እንዲታተም ሊጠይቅ ይችላል፣ እሱ ሊደርስበት ይችላል፣ ነገር ግን በጥቅሉ ውስጥ ስለሌላ ጥቅል መረጃ ይግለጹ ፣ እሱም በመጨረሻ ይሻሻላል።
ጉዳዩ የተጋላጭነቱ ሪፖርት ከተደረገ ከ6 ሰአታት በኋላ ተስተካክሏል፣ ነገር ግን ተጋላጭነቱ በNPM ውስጥ ከቴሌሜትሪ ምዝግብ ማስታወሻዎች ሽፋን በላይ ነበር። GitHub ከሴፕቴምበር 2020 ጀምሮ ይህንን ተጋላጭነት ተጠቅመው ምንም አይነት የጥቃቶች ምልክቶች እንዳልታዩ ተናግሯል፣ነገር ግን ችግሩ ከዚህ በፊት ጥቅም ላይ እንዳልዋለ ምንም ማረጋገጫ የለም።
ሁለተኛው ክስተት በጥቅምት 26 ላይ ተከስቷል. ከ replicate.npmjs.com አገልግሎት ዳታቤዝ ጋር በቴክኒካል ስራ በሚሰራበት ወቅት በለውጥ ምዝግብ ማስታወሻ ውስጥ ስለተጠቀሱት የውስጥ ፓኬጆች ስም መረጃ በማሳየት ለውጫዊ ጥያቄዎች ተደራሽ የሆነ ሚስጥራዊ መረጃ በመረጃ ቋቱ ውስጥ መገኘቱ ተገለጠ። ስለ እነዚህ ስሞች መረጃ በውስጣዊ ፕሮጀክቶች ውስጥ የጥገኝነት ጥቃቶችን ለመፈጸም ጥቅም ላይ ሊውል ይችላል (በየካቲት ወር ተመሳሳይ ጥቃት በ PayPal, Microsoft, Apple, Netflix, Uber እና 30 ሌሎች ኩባንያዎች አገልጋዮች ላይ ኮድ እንዲፈጽም ተፈቅዶለታል).
በተጨማሪም የትላልቅ ፕሮጀክቶች ማከማቻዎች እየተጠለፉ እና ተንኮል-አዘል ኮድ በገንቢ መለያዎች የሚተላለፉ ጉዳዮች ቁጥር እየጨመረ በመምጣቱ GitHub የግዴታ ባለ ሁለት ደረጃ ማረጋገጫን ለማስተዋወቅ ወስኗል። ለውጡ በ2022 የመጀመሪያ ሩብ ላይ ተግባራዊ ይሆናል እና በጣም ታዋቂ በሆነው ዝርዝር ውስጥ ለተካተቱት ጥቅሎች ጠባቂዎች እና አስተዳዳሪዎች ተፈጻሚ ይሆናል። በተጨማሪም፣ ተንኮል አዘል ለውጦችን አስቀድሞ ለማወቅ አውቶማቲክ ክትትል እና አዲስ የፓኬጅ ስሪቶችን መተንተን ስለሚጀመርበት የመሠረተ ልማት ማዘመን ተዘግቧል።
እናስታውስ እ.ኤ.አ. በ 2020 በተደረገ ጥናት መሠረት 9.27% የጥቅል ጠባቂዎች ብቻ መዳረሻን ለመጠበቅ ባለ ሁለት ደረጃ ማረጋገጫን ይጠቀማሉ ፣ እና በ 13.37% ጉዳዮች ፣ አዲስ መለያዎችን ሲመዘግቡ ገንቢዎች በ ውስጥ የተበላሹ የይለፍ ቃሎችን እንደገና ለመጠቀም ሞክረዋል ። የሚታወቅ የይለፍ ቃል ይፈስሳል። በይለፍ ቃል ደህንነት ፍተሻ ወቅት፣ እንደ “12” ያሉ ሊገመቱ የሚችሉ እና ቀላል ያልሆኑ የይለፍ ቃሎችን በመጠቀማቸው 13% የNPM መለያዎች (123456% ፓኬጆች) ተደርሰዋል። ከችግሮች መካከል 4 የተጠቃሚ መለያዎች ከ Top20 በጣም ታዋቂ ፓኬጆች ፣ 13 ፓኬጆች በወር ከ 50 ሚሊዮን ጊዜ በላይ የወረዱ ፣ 40 በወር ከ 10 ሚሊዮን በላይ ማውረድ እና 282 በወር ከ 1 ሚሊዮን በላይ ማውረድ። የሞጁሎችን በጥገኝነት ሰንሰለት መጫኑን ከግምት ውስጥ በማስገባት ፣የማይታመኑ ሂሳቦችን መጣስ በNPM ውስጥ ካሉ ሁሉም ሞጁሎች እስከ 52% ሊደርስ ይችላል።
ምንጭ: opennet.ru