Tungod sa nagkadaghang kaso sa mga repository sa dagkong proyekto nga gi-hijack ug malisyoso nga code nga gi-promote pinaagi sa pagkompromiso sa developer accounts, ang GitHub nagpaila sa kaylap nga gipalapdan nga pag-verify sa account. Sa tagsa-tagsa, ang mandatory two-factor authentication ipaila-ila alang sa mga maintainers ug administrators sa 500 ka pinakasikat nga NPM packages sayo sa sunod tuig.
Gikan sa Disyembre 7, 2021 hangtod sa Enero 4, 2022, ang tanan nga mga tigmentinar nga adunay katungod sa pagmantala sa mga pakete sa NPM, apan wala mogamit sa duha ka hinungdan nga pag-authenticate, ibalhin sa paggamit sa gipalawig nga pag-verify sa account. Ang advanced verification nagkinahanglan sa pagsulod sa usa ka higayon nga code nga gipadala pinaagi sa email sa pagsulay sa pag-log in sa npmjs.com nga website o paghimo sa usa ka authenticated nga operasyon sa npm utility.
Ang gipaayo nga pag-verify dili mopuli, apan nagdugang lamang, ang nauna nga magamit nga opsyonal nga two-factor authentication, nga nanginahanglan kumpirmasyon gamit ang usa ka higayon nga mga password (TOTP). Kung ang duha ka hinungdan nga pag-authenticate gipagana, ang gipalawig nga pag-verify sa email wala magamit. Sugod sa Pebrero 1, 2022, ang proseso sa pagbalhin ngadto sa mandatory two-factor authentication magsugod para sa mga nagmintinar sa 100 ka pinakasikat nga NPM packages nga adunay pinakadaghang mga dependency. Human makompleto ang paglalin sa unang gatos, ang pagbag-o iapud-apod sa 500 ka pinakasikat nga mga pakete sa NPM pinaagi sa gidaghanon sa mga dependency.
Dugang pa sa anaa karon nga two-factor authentication scheme nga gibase sa mga aplikasyon alang sa pagmugna og usa ka higayon nga mga password (Authy, Google Authenticator, FreeOTP, ug uban pa), sa Abril 2022 sila nagplano sa pagdugang sa abilidad sa paggamit sa mga yawe sa hardware ug biometric scanner, alang sa nga adunay suporta alang sa WebAuthn protocol, ug usab ang abilidad sa pagparehistro ug pagdumala sa nagkalain-laing dugang nga mga hinungdan sa pag-authenticate.
Atong hinumdoman nga, sumala sa usa ka pagtuon nga gihimo kaniadtong 2020, 9.27% ra sa mga tag-iya sa pakete ang naggamit sa duha ka hinungdan nga pag-authenticate aron mapanalipdan ang pag-access, ug sa 13.37% sa mga kaso, kung nagparehistro sa mga bag-ong account, gisulayan sa mga developer nga gamiton pag-usab ang mga nakompromiso nga password nga nagpakita sa. nahibal-an nga mga pagtulo sa password. Atol sa pagrepaso sa seguridad sa password, 12% sa NPM account (13% sa mga pakete) ang na-access tungod sa paggamit sa matag-an ug walay hinungdan nga mga password sama sa "123456." Lakip sa mga problema mao ang 4 nga mga account sa gumagamit gikan sa Top 20 nga labing inila nga mga pakete, 13 nga mga account nga adunay mga pakete nga na-download labaw sa 50 milyon nga beses matag bulan, 40 nga adunay sobra sa 10 milyon nga pag-download matag bulan, ug 282 nga adunay labaw sa 1 milyon nga pag-download matag bulan. Gikonsiderar ang pagkarga sa mga module sa usa ka kadena sa mga dependency, ang pagkompromiso sa dili kasaligan nga mga account mahimong makaapekto hangtod sa 52% sa tanan nga mga module sa NPM.
Source: opennet.ru