GitHub ತನ್ನ NPM ಪ್ಯಾಕೇಜ್ ರೆಪೊಸಿಟರಿ ಮೂಲಸೌಕರ್ಯದಲ್ಲಿ ಎರಡು ಘಟನೆಗಳನ್ನು ಬಹಿರಂಗಪಡಿಸಿದೆ. ನವೆಂಬರ್ 2 ರಂದು, ಬಗ್ ಬೌಂಟಿ ಕಾರ್ಯಕ್ರಮದ ಭಾಗವಾಗಿ ಮೂರನೇ-ಪಕ್ಷದ ಭದ್ರತಾ ಸಂಶೋಧಕರು (ಕಜೆಟಾನ್ ಗ್ರ್ಜಿಬೋವ್ಸ್ಕಿ ಮತ್ತು ಮ್ಯಾಸಿಜ್ ಪೈಚೋಟಾ), NPM ರೆಪೊಸಿಟರಿಯಲ್ಲಿ ದುರ್ಬಲತೆಯ ಉಪಸ್ಥಿತಿಯನ್ನು ವರದಿ ಮಾಡಿದರು, ಅದು ನಿಮ್ಮ ಖಾತೆಯನ್ನು ಬಳಸಿಕೊಂಡು ಯಾವುದೇ ಪ್ಯಾಕೇಜ್ನ ಹೊಸ ಆವೃತ್ತಿಯನ್ನು ಪ್ರಕಟಿಸಲು ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ, ಅಂತಹ ನವೀಕರಣಗಳನ್ನು ನಿರ್ವಹಿಸಲು ಇದು ಅಧಿಕಾರ ಹೊಂದಿಲ್ಲ.
ಎನ್ಪಿಎಂಗೆ ವಿನಂತಿಗಳನ್ನು ಪ್ರಕ್ರಿಯೆಗೊಳಿಸುವ ಮೈಕ್ರೋ ಸರ್ವಿಸ್ಗಳ ಕೋಡ್ನಲ್ಲಿ ತಪ್ಪಾದ ಅನುಮತಿ ಪರಿಶೀಲನೆಗಳಿಂದ ದುರ್ಬಲತೆ ಉಂಟಾಗಿದೆ. ದೃಢೀಕರಣ ಸೇವೆಯು ವಿನಂತಿಯಲ್ಲಿ ರವಾನಿಸಲಾದ ಡೇಟಾದ ಆಧಾರದ ಮೇಲೆ ಪ್ಯಾಕೇಜ್ ಅನುಮತಿ ಪರಿಶೀಲನೆಗಳನ್ನು ನಡೆಸಿತು, ಆದರೆ ಅಪ್ಡೇಟ್ ಅನ್ನು ರೆಪೊಸಿಟರಿಗೆ ಅಪ್ಲೋಡ್ ಮಾಡಿದ ಮತ್ತೊಂದು ಸೇವೆಯು ಅಪ್ಲೋಡ್ ಮಾಡಿದ ಪ್ಯಾಕೇಜ್ನ ಮೆಟಾಡೇಟಾ ವಿಷಯದ ಆಧಾರದ ಮೇಲೆ ಪ್ರಕಟಿಸಲು ಪ್ಯಾಕೇಜ್ ಅನ್ನು ನಿರ್ಧರಿಸುತ್ತದೆ. ಹೀಗಾಗಿ, ಆಕ್ರಮಣಕಾರನು ತನ್ನ ಪ್ಯಾಕೇಜ್ಗೆ ಅಪ್ಡೇಟ್ನ ಪ್ರಕಟಣೆಗೆ ವಿನಂತಿಸಬಹುದು, ಅದಕ್ಕೆ ಅವನು ಪ್ರವೇಶವನ್ನು ಹೊಂದಿದ್ದಾನೆ, ಆದರೆ ಪ್ಯಾಕೇಜ್ನಲ್ಲಿಯೇ ಇನ್ನೊಂದು ಪ್ಯಾಕೇಜ್ನ ಬಗ್ಗೆ ಮಾಹಿತಿಯನ್ನು ನಿರ್ದಿಷ್ಟಪಡಿಸಿ, ಅದನ್ನು ಅಂತಿಮವಾಗಿ ನವೀಕರಿಸಲಾಗುತ್ತದೆ.
ದುರ್ಬಲತೆಯನ್ನು ವರದಿ ಮಾಡಿದ 6 ಗಂಟೆಗಳ ನಂತರ ಸಮಸ್ಯೆಯನ್ನು ಪರಿಹರಿಸಲಾಗಿದೆ, ಆದರೆ ಟೆಲಿಮೆಟ್ರಿ ಲಾಗ್ಗಳ ಕವರ್ಗಿಂತ ದುರ್ಬಲತೆಯು NPM ನಲ್ಲಿದೆ. ಸೆಪ್ಟೆಂಬರ್ 2020 ರಿಂದ ಈ ದುರ್ಬಲತೆಯನ್ನು ಬಳಸಿಕೊಂಡು ಯಾವುದೇ ದಾಳಿಯ ಕುರುಹುಗಳಿಲ್ಲ ಎಂದು GitHub ಹೇಳುತ್ತದೆ, ಆದರೆ ಸಮಸ್ಯೆಯನ್ನು ಮೊದಲು ಬಳಸಿಕೊಳ್ಳಲಾಗಿಲ್ಲ ಎಂಬುದಕ್ಕೆ ಯಾವುದೇ ಗ್ಯಾರಂಟಿ ಇಲ್ಲ.
ಎರಡನೇ ಘಟನೆ ಅಕ್ಟೋಬರ್ 26 ರಂದು ಸಂಭವಿಸಿದೆ. replicate.npmjs.com ಸೇವೆಯ ಡೇಟಾಬೇಸ್ನೊಂದಿಗೆ ತಾಂತ್ರಿಕ ಕೆಲಸದ ಸಮಯದಲ್ಲಿ, ಬಾಹ್ಯ ವಿನಂತಿಗಳಿಗೆ ಪ್ರವೇಶಿಸಬಹುದಾದ ಡೇಟಾಬೇಸ್ನಲ್ಲಿ ಗೌಪ್ಯ ಡೇಟಾದ ಉಪಸ್ಥಿತಿಯನ್ನು ಬಹಿರಂಗಪಡಿಸಲಾಯಿತು, ಬದಲಾವಣೆ ಲಾಗ್ನಲ್ಲಿ ಉಲ್ಲೇಖಿಸಲಾದ ಆಂತರಿಕ ಪ್ಯಾಕೇಜ್ಗಳ ಹೆಸರುಗಳ ಬಗ್ಗೆ ಮಾಹಿತಿಯನ್ನು ಬಹಿರಂಗಪಡಿಸುತ್ತದೆ. ಅಂತಹ ಹೆಸರುಗಳ ಬಗ್ಗೆ ಮಾಹಿತಿಯನ್ನು ಆಂತರಿಕ ಯೋಜನೆಗಳ ಮೇಲೆ ಅವಲಂಬಿತ ದಾಳಿಯನ್ನು ಕೈಗೊಳ್ಳಲು ಬಳಸಬಹುದು (ಫೆಬ್ರವರಿಯಲ್ಲಿ, ಇದೇ ರೀತಿಯ ದಾಳಿಯು PayPal, Microsoft, Apple, Netflix, Uber ಮತ್ತು 30 ಇತರ ಕಂಪನಿಗಳ ಸರ್ವರ್ಗಳಲ್ಲಿ ಕೋಡ್ ಅನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲು ಅವಕಾಶ ಮಾಡಿಕೊಟ್ಟಿತು).
ಹೆಚ್ಚುವರಿಯಾಗಿ, ದೊಡ್ಡ ಪ್ರಾಜೆಕ್ಟ್ಗಳ ರೆಪೊಸಿಟರಿಗಳ ಹೆಚ್ಚಿನ ಸಂಖ್ಯೆಯ ಪ್ರಕರಣಗಳು ಹೈಜಾಕ್ ಆಗುವುದರಿಂದ ಮತ್ತು ಡೆವಲಪರ್ ಖಾತೆಗಳನ್ನು ರಾಜಿ ಮಾಡಿಕೊಳ್ಳುವ ಮೂಲಕ ದುರುದ್ದೇಶಪೂರಿತ ಕೋಡ್ ಅನ್ನು ಪ್ರಚಾರ ಮಾಡಲಾಗುತ್ತಿದೆ, GitHub ಕಡ್ಡಾಯವಾಗಿ ಎರಡು ಅಂಶಗಳ ದೃಢೀಕರಣವನ್ನು ಪರಿಚಯಿಸಲು ನಿರ್ಧರಿಸಿದೆ. ಬದಲಾವಣೆಯು 2022 ರ ಮೊದಲ ತ್ರೈಮಾಸಿಕದಲ್ಲಿ ಜಾರಿಗೆ ಬರಲಿದೆ ಮತ್ತು ಅತ್ಯಂತ ಜನಪ್ರಿಯ ಪಟ್ಟಿಯಲ್ಲಿ ಸೇರಿಸಲಾದ ಪ್ಯಾಕೇಜ್ಗಳ ನಿರ್ವಾಹಕರು ಮತ್ತು ನಿರ್ವಾಹಕರಿಗೆ ಅನ್ವಯಿಸುತ್ತದೆ. ಹೆಚ್ಚುವರಿಯಾಗಿ, ಮೂಲಸೌಕರ್ಯದ ಆಧುನೀಕರಣದ ಬಗ್ಗೆ ವರದಿಯಾಗಿದೆ, ಇದರಲ್ಲಿ ದುರುದ್ದೇಶಪೂರಿತ ಬದಲಾವಣೆಗಳ ಆರಂಭಿಕ ಪತ್ತೆಗಾಗಿ ಪ್ಯಾಕೇಜ್ಗಳ ಹೊಸ ಆವೃತ್ತಿಗಳ ಸ್ವಯಂಚಾಲಿತ ಮೇಲ್ವಿಚಾರಣೆ ಮತ್ತು ವಿಶ್ಲೇಷಣೆಯನ್ನು ಪರಿಚಯಿಸಲಾಗುತ್ತದೆ.
2020 ರಲ್ಲಿ ನಡೆಸಿದ ಅಧ್ಯಯನದ ಪ್ರಕಾರ, ಕೇವಲ 9.27% ಪ್ಯಾಕೇಜ್ ನಿರ್ವಾಹಕರು ಪ್ರವೇಶವನ್ನು ರಕ್ಷಿಸಲು ಎರಡು ಅಂಶಗಳ ದೃಢೀಕರಣವನ್ನು ಬಳಸುತ್ತಾರೆ ಮತ್ತು 13.37% ಪ್ರಕರಣಗಳಲ್ಲಿ, ಹೊಸ ಖಾತೆಗಳನ್ನು ನೋಂದಾಯಿಸುವಾಗ, ಡೆವಲಪರ್ಗಳು ಕಾಣಿಸಿಕೊಂಡ ರಾಜಿ ಪಾಸ್ವರ್ಡ್ಗಳನ್ನು ಮರುಬಳಕೆ ಮಾಡಲು ಪ್ರಯತ್ನಿಸಿದರು ಎಂಬುದನ್ನು ನೆನಪಿನಲ್ಲಿಡೋಣ. ತಿಳಿದಿರುವ ಪಾಸ್ವರ್ಡ್ ಸೋರಿಕೆಗಳು. ಪಾಸ್ವರ್ಡ್ ಭದ್ರತಾ ಪರಿಶೀಲನೆಯ ಸಮಯದಲ್ಲಿ, "12" ನಂತಹ ಊಹಿಸಬಹುದಾದ ಮತ್ತು ಕ್ಷುಲ್ಲಕ ಪಾಸ್ವರ್ಡ್ಗಳ ಬಳಕೆಯಿಂದಾಗಿ 13% NPM ಖಾತೆಗಳನ್ನು (123456% ಪ್ಯಾಕೇಜ್ಗಳು) ಪ್ರವೇಶಿಸಲಾಗಿದೆ. ಸಮಸ್ಯಾತ್ಮಕವಾದವುಗಳಲ್ಲಿ ಟಾಪ್ 4 ಅತ್ಯಂತ ಜನಪ್ರಿಯ ಪ್ಯಾಕೇಜ್ಗಳಿಂದ 20 ಬಳಕೆದಾರರ ಖಾತೆಗಳು, ತಿಂಗಳಿಗೆ 13 ಮಿಲಿಯನ್ಗಿಂತಲೂ ಹೆಚ್ಚು ಬಾರಿ ಡೌನ್ಲೋಡ್ ಮಾಡಿದ ಪ್ಯಾಕೇಜ್ಗಳನ್ನು ಹೊಂದಿರುವ 50 ಖಾತೆಗಳು, ತಿಂಗಳಿಗೆ 40 ಮಿಲಿಯನ್ಗಿಂತಲೂ ಹೆಚ್ಚು ಡೌನ್ಲೋಡ್ಗಳೊಂದಿಗೆ 10 ಮತ್ತು ತಿಂಗಳಿಗೆ 282 ಮಿಲಿಯನ್ಗಿಂತಲೂ ಹೆಚ್ಚು ಡೌನ್ಲೋಡ್ಗಳೊಂದಿಗೆ 1. ಅವಲಂಬನೆಗಳ ಸರಪಳಿಯಲ್ಲಿ ಮಾಡ್ಯೂಲ್ಗಳ ಲೋಡ್ ಅನ್ನು ಗಣನೆಗೆ ತೆಗೆದುಕೊಂಡು, ವಿಶ್ವಾಸಾರ್ಹವಲ್ಲದ ಖಾತೆಗಳ ರಾಜಿ NPM ನಲ್ಲಿನ ಎಲ್ಲಾ ಮಾಡ್ಯೂಲ್ಗಳಲ್ಲಿ 52% ವರೆಗೆ ಪರಿಣಾಮ ಬೀರಬಹುದು.
ಮೂಲ: opennet.ru