GitHub hà divulgatu dui incidenti in a so infrastruttura di repository di pacchetti NPM. U 2 di nuvembre, circadori di securità di terzu (Kajetan Grzybowski è Maciej Piechota), cum'è parte di u prugramma Bug Bounty, anu signalatu a presenza di una vulnerabilità in u repository NPM chì vi permette di pubblicà una nova versione di qualsiasi pacchettu cù u vostru contu. chì ùn hè micca autorizatu à realizà tali aghjurnamenti.
A vulnerabilità hè stata causata da cuntrolli di permessi sbagliati in u codice di i microservizii chì processanu e dumande à NPM. U serviziu d'autorizazione hà realizatu cuntrolli di permessu di u pacchettu basatu nantu à e dati passati in a dumanda, ma un altru serviziu chì hà caricatu l'aghjurnamentu à u repositoriu hà determinatu u pacchettu per publicà basatu annantu à u cuntenutu di metadata di u pacchettu uploaded. Cusì, un attaccante puderia dumandà a publicazione di un aghjurnamentu per u so pacchettu, à quale hà accessu, ma specificà in u pacchettu stessu infurmazione nantu à un altru pacchettu, chì eventualmente serà aghjurnatu.
U prublema hè stata risolta 6 ore dopu chì a vulnerabilità hè stata rappurtata, ma a vulnerabilità era presente in NPM più longu di i registri di telemetria. GitHub dichjara chì ùn ci sò stati traccia di attacchi chì utilizanu sta vulnerabilità da settembre 2020, ma ùn ci hè micca garanzia chì u prublema ùn hè micca stata sfruttata prima.
U secondu incidente hè accadutu u 26 ottobre. Duranti u travagliu tecnicu cù a basa di dati di u serviziu replicate.npmjs.com, a prisenza di dati cunfidenziale in a basa di dati accessibile à e dumande esterne hè stata revelata, revelendu infurmazioni nantu à i nomi di pacchetti interni chì sò stati citati in u logu di cambiamentu. L'infurmazione nantu à tali nomi pò esse usata per fà attacchi di dependenza nantu à i prughjetti interni (in u frivaru, un attaccu simili hà permessu di eseguisce codice in i servitori di PayPal, Microsoft, Apple, Netflix, Uber è altre 30 cumpagnie).
Inoltre, per via di u crescente numeru di casi di repositori di grandi prughjetti chì sò rapiti è u codice malicioso chì hè promossi attraversu cunti di sviluppatore compromessi, GitHub hà decisu di introduci l'autentificazione obligatoria à dui fattori. U cambiamentu entrerà in vigore in u primu trimestre di u 2022 è s'applicà à i mantene è l'amministratori di i pacchetti inclusi in a lista più populari. Inoltre, hè infurmatu nantu à a mudernizazione di l'infrastruttura, in quale u monitoraghju automatizatu è l'analisi di e novi versioni di i pacchetti serà introduttu per a deteczione precoce di cambiamenti maliziusi.
Ricurdemu chì, secondu un studiu realizatu in u 2020, solu u 9.27% di i mantene di pacchetti utilizanu l'autentificazione à dui fattori per prutege l'accessu, è in u 13.37% di i casi, quandu si registranu novi cunti, i sviluppatori anu pruvatu à riutilizà password cumprumessi chì apparsu fughe di password cunnisciute. Durante una rivista di sicurezza di password, u 12% di i cunti NPM (13% di i pacchetti) sò stati accessu per via di l'usu di password prevedibili è triviali cum'è "123456". Trà i prublemi prublemi eranu 4 cunti d'utilizatori da u Top 20 pacchetti più populari, 13 cunti cù pacchetti scaricati più di 50 milioni di volte per mese, 40 cù più di 10 milioni di scaricamentu per mese, è 282 cù più di 1 milione di scaricamentu per mese. In cunsiderà a carica di moduli longu una catena di dependenzii, u cumprumissu di cunti micca fiduciati puderia influenzà finu à u 52% di tutti i moduli in NPM.
Source: opennet.ru