Адам Болдуин (Adam Baldwin), возглавляющий команду, отвечающую за безопасность репозитория NPM, статистику, подготовленную по итогам прошлого года:
- Несмотря на с захватом репозиториев NPM, лишь 9.27% мэйнтенеров пакетов используют для защиты доступа двухфакторную аутентификацию;
- При регистрации 13.37% новых учётных записей пытались повторно использовать скомпрометированные пароли, фигурирующие в известных утечках паролей по данным сервиса ;
- В прошлом году было отозвано 737 токенов NPM, которые по ошибке были в реестре пакетов NPM или в публично доступных репозиториях на GitHub;
- кража 13 миллионов долларов в криптовалюте, благодаря выявлению попытки интеграции бэкдора в кошелёк Komodo Agama;
- Общее число отчётов о проблемах с безопасностью в базе NPM достигло 1285, из которых 595 отчётов были подготовлены в 2019 году. Через [email protected] было получено 2.2 тысячи уведомлений о наличии уязвимостей;
- За год антиспам-системой заблокировано 11526 транзакций, в том числе связанных с попыткой продвижения рекламы торрентов и фильмов;
- Системой анализа сгенерировано 1.4 млн отчётов, запрошенных через API, охватывающих 15.6 ТБ данных с информацией об анализе поведения.
Источник: opennet.ru