GitHub duo casus in suo NPM involucro repositorii infrastructuram aperuit. Die II mensis Novembris anno tertio-partis securitatis investigatores (Kajetan Grzybowski et Maciej Piechota), ut pars programmatis Bug largitatis, praesentiam vulnerabilitatis in repositorio NPM retulerunt, qui te permittit ut novam versionem cuiuslibet sarcinae utentis ratione tua edas; quae talis updates non est auctoritate praestare.
Faciebant vulnerabilitas ex permissione falsa compescit in codice microservices qui processus postulationes ad NPM. Auctoritas muneris involucrum praestitum permissio compescit secundum elatum in petitione, sed aliud servitium quod renovationem ad repositorium misit, sarcinam edendi secundum metadatae sarcinae fasciculi impositi determinavit. Ita invasor postulare potuit publicationem renovationis pro sarcina, ad quam accessum habet, sed in ipsa sarcina informationem de alio sarcina, quae tandem renovata est, denotare potest.
Quaestio de 6 horis fixa est postquam vulnerabilitas nuntiata est, sed vulnerabilitas in NPM aderat longiora quam telemetria ligna tegunt. GitHub affirmat nulla vestigia oppugnationum hac vulnerabilitate ab Septembri 2020 adhibitis fuisse, sed nullum est pignus quod ante quaestionem non abutitur.
Secunda incidens die XXVI mensis Octobris. In opere technico cum datorum replicatione.npmjs.com servitii, praesentia notitiarum secretarum in datorum pervia petitionibus externis revelata est, notitias de nominibus fasciculorum internorum quae in mutatione truncorum commemorata erant patefacit. Informationes de talibus nominibus inceptis internis ad impetus dependentiae exercendos adhiberi possunt (in Februario, similis impetus codicis permissus exsecutus est servientibus PayPal, Microsoft, Apple, Netflix, Uber et 26 aliis societatibus).
Praeterea, aucto numero casuum repositoriorum magnarum inceptorum hijacked et malitiosarum codici, per rationes electronicarum elitium promovendorum, GitHub statuit duos factores authenticas faciendas introducere. Mutatio in primam partem 2022 valere incipiet et assertores et administratores fasciculorum in indice populari comprehensos applicabit. Accedit quod de modernizatione infrastructurae relatum est, in quo automated vigilantia et analysis novarum fasciculorum versiones primae ad detectionem mutationum malignarum introducentur.
Meminerimus, secundum studium anno 2020 gestum, solum 9.27% ββde assertoribus sarcinis duos factores authenticas uti ad accessum tuendum, et in 13.37% casuum, cum novas tabulas perscriptum, tincidunt Tesserae suspectae quae in apparuerunt reuse conati sunt. notae tesserae pinum. Per recognitionem securitatis tesserae, 12% of NPM rationum (13% fasciculorum) accesserunt ex usu Tesserae praedictii levissimique sicut "123456." Inter problematicas quattuor rationes usoris a Top XX fasciculis popularibus erant, 4 rationes cum fasciculis plus quam 20 decies centena millia per mensem, 13 cum plus quam 50 decies centena millia per mensem, et 40 cum plus quam 10 decies centena millia per mensem. Inspecta oneratione modulorum per catenam dependentium, compromissum rationum creditarum potuit afficere usque ad 282% omnium modulorum in NPM.
Source: opennet.ru