GitHub нь NPM багц хадгалах дэд бүтцэд хоёр тохиолдлыг илчилсэн. Арваннэгдүгээр сарын 2-нд гуравдагч талын аюулгүй байдлын судлаачид (Kajetan Grzybowski болон Maciej Piechota) Bug Bounty хөтөлбөрийн нэг хэсэг болох NPM репозитор нь таны дансыг ашиглан аливаа багцын шинэ хувилбарыг нийтлэх боломжийг олгодог эмзэг байдал байгааг мэдээлсэн. ийм шинэчлэл хийх эрхгүй.
Энэ эмзэг байдал нь NPM-д илгээсэн хүсэлтийг боловсруулдаг микро үйлчилгээний кодонд зөвшөөрлийн шалгалтыг буруу хийснээс үүдэлтэй. Зөвшөөрлийн үйлчилгээ нь хүсэлтэд дамжуулсан өгөгдөл дээр үндэслэн багцын зөвшөөрлийн шалгалтыг хийсэн боловч шинэчлэлтийг хадгалах газарт байршуулсан өөр үйлчилгээ байршуулсан багцын мета өгөгдлийн агуулгад үндэслэн нийтлэх багцыг тодорхойлсон. Иймд халдагч өөрийн хандах эрхтэй багцынхаа шинэчлэлтийг нийтлэхийг хүсч болох боловч багцад өөр багцын талаарх мэдээллийг зааж өгч, эцэст нь шинэчлэгдэх болно.
Эмзэг байдлын талаар мэдээлснээс хойш 6 цагийн дараа энэ асуудлыг зассан боловч энэ эмзэг байдал нь телеметрийн бүртгэлээс илүү удаан NPM-д байсан. GitHub 2020 оны XNUMX-р сараас хойш энэ эмзэг байдлыг ашигласан халдлагын ул мөр гараагүй гэж мэдэгдэж байгаа боловч өмнө нь уг асуудлыг ашиглаж байгаагүй гэсэн баталгаа байхгүй.
Хоёр дахь хэрэг аравдугаар сарын 26-нд болсон. Replicate.npmjs.com үйлчилгээний мэдээллийн сантай техникийн ажил хийх явцад мэдээллийн санд гадны хүсэлтэд нэвтрэх боломжтой нууц мэдээлэл илэрсэн нь өөрчлөлтийн бүртгэлд дурдсан дотоод багцуудын нэрсийн талаарх мэдээллийг илчилсэн. Ийм нэрсийн талаарх мэдээллийг дотоод төслүүдэд хамаарлын халдлага хийхэд ашиглаж болно (30-р сард ижил төстэй халдлага нь PayPal, Microsoft, Apple, Netflix, Uber болон бусад XNUMX компанийн серверүүд дээр код гүйцэтгэхийг зөвшөөрсөн).
Нэмж дурдахад, томоохон төслүүдийн агуулахыг хулгайлах, хөгжүүлэгчийн дансыг эвдэх замаар хортой кодыг сурталчлах тохиолдол нэмэгдэж байгаа тул GitHub нь заавал хоёр хүчин зүйлийн баталгаажуулалтыг нэвтрүүлэхээр шийджээ. Энэхүү өөрчлөлт нь 2022 оны эхний улирлаас хүчин төгөлдөр болох бөгөөд хамгийн алдартай жагсаалтад багтсан багцын засварчид болон администраторуудад хамаарна. Нэмж дурдахад, хортой өөрчлөлтийг эрт илрүүлэх зорилгоор багцын шинэ хувилбаруудад автомат хяналт, дүн шинжилгээ хийх дэд бүтцийг шинэчлэх талаар мэдээлж байна.
2020 онд хийсэн судалгаагаар багц засварлагчдын ердөө 9.27% нь хандалтыг хамгаалахын тулд хоёр хүчин зүйлийн баталгаажуулалтыг ашигладаг бөгөөд 13.37% тохиолдолд шинэ данс бүртгүүлэхдээ хөгжүүлэгчид нууц үгээ дахин ашиглахыг оролдсон гэдгийг санаарай. мэдэгдэж байгаа нууц үг алдагдсан. Нууц үгийн аюулгүй байдлын шалгалтын явцад “12” гэх мэт урьдчилан таамаглах боломжтой, өчүүхэн нууц үг ашигласны улмаас NPM дансны 13%-д (багцын 123456%) хандсан байна. Асуудалтай зүйлсийн дунд хамгийн алдартай 4 багцын 20 хэрэглэгчийн бүртгэл, сард 13 саяас дээш удаа татагдсан багц 50, сард 40 сая гаруй удаа татагдсан 10, сард 282 сая гаруй удаа татагдсан 1 хэрэглэгчийн бүртгэл багтсан байна. Хамааралтай гинжин хэлхээний дагуу модулиудын ачааллыг харгалзан үзэхэд итгэмжгүй бүртгэлүүдийн эвдрэл нь NPM-ийн бүх модулийн 52% хүртэл нөлөөлж болзошгүй юм.
Эх сурвалж: opennet.ru