O repositório NPM inclui autenticação obrigatória de dois fatores para contas que mantêm os 500 pacotes NPM mais populares. O número de pacotes dependentes foi utilizado como critério de popularidade. Os mantenedores dos pacotes listados só poderão realizar operações relacionadas a modificações no repositório após habilitar a autenticação de dois fatores, que requer confirmação de login usando senhas de uso único (TOTP) geradas por aplicativos como Authy, Google Authenticator e FreeOTP, ou chaves de hardware e scanners biométricos, com suporte ao protocolo WebAuth.
Esta é a terceira etapa do fortalecimento da proteção do NPM contra comprometimento de contas. A primeira etapa envolveu a conversão de todas as contas NPM que não possuem autenticação de dois fatores habilitada para usar a verificação avançada de conta, que requer a inserção de um código único enviado por e-mail ao tentar fazer login no npmjs.com ou realizar uma operação autenticada no npm Utilitário. Na segunda fase, foi habilitada a autenticação obrigatória de dois fatores para os 100 pacotes mais populares.
Lembremos que segundo estudo realizado em 2020, apenas 9.27% dos mantenedores de pacotes utilizavam autenticação de dois fatores para proteger o acesso, e em 13.37% dos casos, ao registrar novas contas, os desenvolvedores tentavam reutilizar senhas comprometidas que apareciam em conhecidos. vazamento de senha. Durante uma revisão de segurança de senha, 12% das contas NPM (13% dos pacotes) foram acessadas devido ao uso de senhas previsíveis e triviais, como “123456”. Entre as problemáticas estavam 4 contas de usuários dos 20 pacotes mais populares, 13 contas com pacotes baixados mais de 50 milhões de vezes por mês, 40 com mais de 10 milhões de downloads por mês e 282 com mais de 1 milhão de downloads por mês. Tendo em conta o carregamento de módulos ao longo de uma cadeia de dependências, o comprometimento de contas não confiáveis poderia afetar até 52% de todos os módulos no NPM.
Fonte: opennet.ru