GitHub wis ngumumake rong kedadeyan ing infrastruktur repositori paket NPM. Tanggal 2 November, peneliti keamanan pihak katelu (Kajetan Grzybowski lan Maciej Piechota), minangka bagéan saka program Bug Bounty, nglaporake anané kerentanan ing repositori NPM sing ngidini sampeyan nerbitake versi anyar saka paket apa wae nggunakake akun sampeyan, sing ora sah kanggo nindakake nganyari kuwi.
Kerentanan kasebut disebabake mriksa ijin sing salah ing kode layanan mikro sing ngolah panjaluk menyang NPM. Layanan wewenang nindakake mriksa ijin paket adhedhasar data sing diwenehake ing panyuwunan, nanging layanan liyane sing ngunggah nganyari menyang gudang nemtokake paket sing bakal diterbitake adhedhasar konten metadata saka paket sing diunggah. Mangkono, panyerang bisa njaluk publikasi nganyari kanggo paket, kang wis akses, nanging nemtokake ing paket dhewe informasi bab paket liyane, kang pungkasanipun bakal dianyari.
Masalah kasebut diatasi 6 jam sawise kerentanan kasebut dilaporake, nanging kerentanan kasebut ana ing NPM luwih dawa tinimbang tutup log telemetri. GitHub ujar manawa ora ana jejak serangan sing nggunakake kerentanan iki wiwit September 2020, nanging ora ana jaminan manawa masalah kasebut durung dieksploitasi sadurunge.
Kedadeyan kapindho kedadeyan tanggal 26 Oktober. Sajrone karya teknis karo database layanan replicate.npmjs.com, anane data rahasia ing database sing bisa diakses panjaluk eksternal dicethakaké, ngungkapake informasi babagan jeneng paket internal sing kasebut ing log pangowahan. Informasi babagan jeneng kasebut bisa digunakake kanggo nindakake serangan dependensi ing proyek internal (ing Februari, serangan sing padha ngidini kode dieksekusi ing server PayPal, Microsoft, Apple, Netflix, Uber lan 30 perusahaan liyane).
Kajaba iku, amarga tambah akeh kasus repositori proyek gedhe sing dibajak lan kode jahat dipromosekake liwat akun pangembang sing kompromi, GitHub mutusake kanggo ngenalake otentikasi rong faktor wajib. Owah-owahan kasebut bakal ditrapake ing kuartal pertama 2022 lan bakal ditrapake kanggo pangurus lan pangurus paket sing kalebu ing dhaptar sing paling populer. Kajaba iku, dilaporake babagan modernisasi infrastruktur, ing ngendi pemantauan lan analisis otomatis versi paket anyar bakal dienalake kanggo deteksi awal owah-owahan sing ala.
Elinga yen, miturut panaliten sing ditindakake ing taun 2020, mung 9.27% pangurus paket nggunakake otentikasi rong faktor kanggo nglindhungi akses, lan ing 13.37% kasus, nalika ndhaptar akun anyar, pangembang nyoba nggunakake maneh sandhi sing dikompromi sing muncul ing bocor sandi dikenal. Sajrone review keamanan sandi, 12% akun NPM (13% paket) diakses amarga nggunakake tembung sandhi sing bisa diprediksi lan ora pati penting kayata "123456." Antarane masalah kasebut yaiku 4 akun pangguna saka 20 paket paling populer, 13 akun kanthi paket sing diunduh luwih saka 50 yuta kaping saben wulan, 40 kanthi luwih saka 10 yuta undhuhan saben wulan, lan 282 kanthi luwih saka 1 yuta download saben wulan. Kanthi nggatekake beban modul ing sadawane rantai dependensi, kompromi akun sing ora dipercaya bisa mengaruhi nganti 52% kabeh modul ing NPM.
Source: opennet.ru