GitHub huet zwee Tëschefäll a senger NPM Package Repository Infrastruktur opgedeckt. Den 2. November hunn Drëtt Partei Sécherheetsfuerscher (Kajetan Grzybowski a Maciej Piechota), als Deel vum Bug Bounty Programm, d'Präsenz vun enger Schwachstelle am NPM Repository gemellt, déi Iech erlaabt eng nei Versioun vun all Package mat Ärem Kont ze publizéieren, déi net autoriséiert ass sou Updates auszeféieren.
D'Schwachheet gouf verursaacht duerch falsch Erlaabniskontrollen am Code vu Mikroservicer déi Ufroe bei NPM veraarbecht. Den Autorisatiounsservice huet d'Package-Erlaabneskontrolle gemaach op Basis vun den Donnéeën, déi an der Ufro passéiert sinn, awer en anere Service, deen d'Aktualiséierung an de Repository eropgelueden huet, huet de Package festgeluecht fir ze publizéieren baséiert op dem Metadateninhalt vum eropgeluedene Package. Sou kann en Ugräifer d'Publikatioun vun engem Update fir säi Package ufroen, op deen hien Zougang huet, awer am Package selwer Informatioun iwwer en anere Package uginn, dee schlussendlech aktualiséiert gëtt.
D'Thema gouf fixéiert 6 Stonnen nodeems d'Schwachheet gemellt gouf, awer d'Schwachheet war am NPM méi laang präsent wéi Telemetrie Logbicher Cover. GitHub behaapt datt et zënter September 2020 keng Spure vun Attacke mat dëser Schwachstelle gouf, awer et gëtt keng Garantie datt de Problem net virdru exploitéiert gouf.
Den zweeten Tëschefall ass de 26. Oktober geschitt. Wärend der technescher Aarbecht mat der Datebank vum Replicate.npmjs.com Service gouf d'Präsenz vu vertraulechen Donnéeën an der Datebank zougänglech fir extern Ufroen opgedeckt, wat Informatioun iwwer d'Nimm vun den internen Packagen opgedeckt huet, déi am Changement Log ernimmt goufen. Informatioun iwwer sou Nimm kann benotzt ginn fir Ofhängegkeetattacken op intern Projeten auszeféieren (am Februar huet en ähnlechen Attack erlaabt Code op de Servere vu PayPal, Microsoft, Apple, Netflix, Uber an 30 aner Firmen auszeféieren).
Zousätzlech, wéinst der wuessender Unzuel vu Fäll vu Repositories vu grousse Projete gekaaft a béisaarteg Code gefördert duerch kompromittéiert Entwécklerkonten, huet GitHub decidéiert obligatoresch Zwee-Faktor Authentifikatioun aféieren. D'Ännerung wäert am éischte Véierel vun 2022 a Kraaft trieden a gëlt fir Ënnerhalter an Administrateure vu Packagen déi an der populärer Lëscht abegraff sinn. Zousätzlech gëtt et iwwer d'Moderniséierung vun der Infrastruktur gemellt, an där automatiséiert Iwwerwaachung an Analyse vun neie Versioune vu Packagen agefouert ginn fir fréizäiteg Detektioun vu béiswëlleg Ännerungen.
Loosst eis drun erënneren datt, laut enger Etude, déi am Joer 2020 gemaach gouf, nëmmen 9.27% vun de Pakethalter zwee-Faktor Authentifikatioun benotzen fir den Zougang ze schützen, an an 13.37% vun de Fäll, wann Dir nei Konten registréiert, hunn d'Entwéckler probéiert kompromittéiert Passwierder ze benotzen déi an bekannt Passwuert Fuite. Wärend enger Passwuertsécherheetsiwwerpréiwung goufen 12% vun NPM Konten (13% vun de Packagen) zougänglech gemaach wéinst der Benotzung vu prévisibelen an triviale Passwierder wéi "123456." Ënnert de problematesch waren 4 Benotzerkonten aus den Top 20 beléifste Packagen, 13 Konte mat Pakete méi wéi 50 Millioune Mol pro Mount erofgelueden, 40 mat méi wéi 10 Milliounen Downloads pro Mount, an 282 mat méi wéi 1 Millioun Downloads pro Mount. Wann Dir d'Belaaschtung vu Moduler laanscht eng Kette vun Ofhängegkeeten berécksiichtegt, kann de Kompromëss vun onvertrauen Konten bis zu 52% vun all Moduler an NPM beaflossen.
Source: opennet.ru