Tras una nueva ola de ataques de phishing a los mantenedores, incidentes que involucraron el compromiso de paquetes populares y la aparición de gusanos que afectaron las dependencias, el repositorio NPM se ha actualizado con medidas de seguridad adicionales:
- La autenticación de dos factores será obligatoria al publicar paquetes localmente.
- Se dejará de usar contraseñas de un solo uso (TOTP) para la autenticación de dos factores. Los usuarios se migrarán al protocolo FIDO U2F.
- Transición a tokens granulares, con una vida útil limitada de 7 días. Los tokens clásicos quedarán obsoletos y el acceso a ellos estará deshabilitado por defecto.
- El uso de un mecanismo de "Editores de confianza" basado en el estándar OpenID Connect (OIDC) y tokens de autenticación con límite de tiempo intercambiados entre servicios externos y el catálogo de paquetes para confirmar una operación de publicación de paquetes, en lugar de utilizar contraseñas tradicionales o tokens de acceso API persistentes.
Fuente: opennet.ru
