GitHub dia nanambara tranga roa tao amin'ny fotodrafitrasa fitahirizana fonosana NPM. Tamin'ny 2 Novambra, ireo mpikaroka momba ny fiarovana avy amin'ny antoko fahatelo (Kajetan Grzybowski sy Maciej Piechota), ao anatin'ny programa Bug Bounty, dia nitatitra ny fisian'ny vulnerable ao amin'ny tahiry NPM izay ahafahanao mamoaka dikan-teny vaovao amin'ny fonosana rehetra mampiasa ny kaontinao, izay tsy nahazo alalana hanao fanavaozana toy izany.
Ny vulnerability dia vokatry ny fisavana fahazoan-dàlana diso amin'ny code of microservices izay mamaly ny fangatahana amin'ny NPM. Ny serivisy fanomezan-dàlana dia nanao fisavana ny fahazoan-dàlana amin'ny fonosana mifototra amin'ny angon-drakitra nalefa tao amin'ny fangatahana, fa ny serivisy iray hafa izay nampiakatra ny fanavaozana tao amin'ny tahiry dia nanapa-kevitra ny hamoaka fonosana mifototra amin'ny atiny metadata amin'ny fonosana nampidirina. Noho izany, ny mpanafika iray dia afaka mangataka ny famoahana fanavaozana ho an'ny fonony, izay azony idirana, fa mamaritra ao amin'ny fonosana ny mombamomba ny fonosana hafa, izay havaozina amin'ny farany.
Ny olana dia raikitra 6 ora taorian'ny nitaterana ny vulnerability, fa ny vulnerability dia hita ao amin'ny NPM lava kokoa noho ny fonon'ny telemetry logs. GitHub dia nilaza fa tsy nisy soritra fanafihana nampiasa an'io vulnerable io nanomboka tamin'ny Septambra 2020, saingy tsy misy antoka fa tsy voarara ny olana teo aloha.
Ny 26 oktobra no nisehoan’ny tranga faharoa. Nandritra ny asa ara-teknika miaraka amin'ny angon-drakitra momba ny serivisy replicate.npmjs.com, dia nambara ny fisian'ny angon-drakitra tsiambaratelo ao amin'ny angon-drakitra azo idirana amin'ny fangatahana ivelany, manambara vaovao momba ny anaran'ny fonosana anatiny izay voalaza ao amin'ny log de change. Ny fampahalalana momba ny anarana toy izany dia azo ampiasaina hanaovana fanafihana fiankinan-doha amin'ny tetikasa anatiny (tamin'ny volana febroary, ny fanafihana mitovitovy amin'izany dia nahafahan'ny kaody natao tamin'ny lohamilina PayPal, Microsoft, Apple, Netflix, Uber ary orinasa 30 hafa).
Ho fanampin'izay, noho ny fitomboan'ny trangan'ny fitehirizana tetikasa lehibe nalaina an-keriny sy ny kaody ratsy nampiroboroboina tamin'ny alàlan'ny kaonty mpamorona mampandefitra, dia nanapa-kevitra ny GitHub ny hampiditra fanamarinana roa anton-javatra tsy maintsy atao. Ny fanovana dia hihatra amin'ny telovolana voalohany amin'ny 2022 ary mihatra amin'ny mpitaiza sy ny mpitantana ny fonosana tafiditra ao amin'ny lisitra malaza indrindra. Fanampin'izany, voalaza momba ny fanavaozana ny fotodrafitrasa, izay hampidirana fanaraha-maso mandeha ho azy sy famakafakana ny dikan-teny vaovao amin'ny fonosana mba hamantarana mialoha ny fiovana manimba.
Aoka hotsaroantsika fa, araka ny fanadihadiana natao tamin'ny taona 2020, 9.27% monja amin'ireo mpitahiry fonosana no mampiasa fanamarinana roa sosona mba hiarovana ny fidirana, ary amin'ny 13.37% amin'ny tranga, rehefa misoratra anarana kaonty vaovao, dia nanandrana nampiasa indray ny tenimiafina simba izay niseho tao ny mpamorona. leks tenimiafina fantatra. Nandritra ny fanadihadiana momba ny fiarovana ny tenimiafina, 12% amin'ny kaonty NPM (13% amin'ny fonosana) no nidirana noho ny fampiasana tenimiafina azo vinavinaina sy tsy misy dikany toy ny "123456." Anisan'ny olana ny kaonty mpampiasa 4 avy amin'ny fonosana 20 ambony indrindra, kaonty 13 misy fonosana alaina in-50 tapitrisa mahery isam-bolana, 40 misy fampidinana mihoatra ny 10 tapitrisa isam-bolana, ary 282 misy fampidinana mihoatra ny 1 tapitrisa isam-bolana. Raha jerena ny famenoana ny maody miaraka amin'ny rojo fiankinan-doha, ny marimaritra iraisana amin'ny kaonty tsy itokisana dia mety hisy fiantraikany hatramin'ny 52% amin'ny maody rehetra ao amin'ny NPM.
Source: opennet.ru