Ang NPM repository naglakip sa mandatory two-factor authentication para sa mga account nga nagmintinar sa 500 ka pinakasikat nga NPM packages. Ang gidaghanon sa nagsalig nga mga pakete gigamit ingon usa ka sukdanan sa pagkapopular. Ang mga tigmentinar sa nalista nga mga pakete makahimo lamang sa mga operasyon nga may kalabotan sa pagbag-o sa repository human ma-enable ang two-factor authentication, nga nagkinahanglan og login confirmation gamit ang one-time passwords (TOTP) nga gihimo sa mga aplikasyon sama sa Authy, Google Authenticator ug FreeOTP, o hardware. yawe ug biometric scanner, pagsuporta sa WebAuth protocol.
Kini ang ikatulo nga yugto sa pagpalig-on sa proteksyon sa NPM batok sa pagkompromiso sa account. Ang unang yugto naglakip sa pag-convert sa tanang NPM nga mga account nga walay two-factor authentication nga makahimo sa paggamit sa advanced account verification, nga nagkinahanglan sa pagsulod sa usa ka higayon nga code nga gipadala pinaagi sa email sa dihang misulay sa pag-log in sa npmjs.com o paghimo sa usa ka authenticated nga operasyon sa npm utility. Sa ikaduhang hugna, ang mandatory nga two-factor authentication gipalihok alang sa 100 ka labing inila nga mga pakete.
Hinumdumi nga sumala sa usa ka pagtuon nga gihimo kaniadtong 2020, 9.27% ββra sa mga tag-iya sa package ang gigamit ang duha ka hinungdan nga pag-authenticate aron mapanalipdan ang pag-access, ug sa 13.37% sa mga kaso, kung nagparehistro sa mga bag-ong account, gisulayan sa mga developer nga gamiton pag-usab ang mga nakompromiso nga password nga makita sa nahibal-an. leak ang password. Atol sa pagrepaso sa seguridad sa password, 12% sa NPM nga mga account (13% sa mga pakete) ang na-access tungod sa paggamit sa matag-an ug walay hinungdan nga mga password sama sa "123456." Lakip sa mga problema mao ang 4 nga mga account sa gumagamit gikan sa Top 20 nga labing inila nga mga pakete, 13 nga mga account nga adunay mga pakete nga na-download labaw sa 50 milyon nga beses matag bulan, 40 nga adunay labaw sa 10 milyon nga pag-download matag bulan, ug 282 nga adunay labaw sa 1 milyon nga pag-download matag bulan. Gikonsiderar ang pagkarga sa mga module sa usa ka kadena sa mga dependency, ang pagkompromiso sa dili kasaligan nga mga account mahimong makaapekto hangtod sa 52% sa tanan nga mga module sa NPM.
Source: opennet.ru