GitHub ان جي NPM پيڪيج جي مخزن جي انفراسٽرڪچر ۾ ٻه واقعا ظاهر ڪيا آهن. 2 نومبر تي، ٽئين پارٽي سيڪيورٽي ريسرچرز (ڪجيتن گرزيبوسڪي ۽ ميڪيج پيچوٽا) بگ باؤنٽي پروگرام جي حصي جي طور تي، NPM مخزن ۾ هڪ خطري جي موجودگي جي خبر ڏني جيڪا توهان کي اجازت ڏئي ٿي ته توهان جو اڪائونٽ استعمال ڪندي ڪنهن به پيڪيج جو نئون ورزن شايع ڪري، جنهن کي اهڙي تازه ڪاري ڪرڻ جي اجازت نه آهي.
نقصان جو سبب مائڪرو سروسز جي ڪوڊ ۾ غلط اجازت چيڪن جي ڪري ٿي جيڪا NPM ڏانهن درخواستن تي عمل ڪندي. اجازت ڏيڻ واري خدمت درخواست ۾ منظور ڪيل ڊيٽا جي بنياد تي پيڪيج جي اجازت جي چڪاس ڪئي، پر هڪ ٻي خدمت جيڪا اپ لوڊ ڪئي وئي اپ ڊيٽ ريپوزٽري کي اپلوڊ ٿيل پيڪيج جي ميٽا ڊيٽا مواد جي بنياد تي شايع ڪرڻ لاءِ پيڪيج مقرر ڪيو. اهڙيء طرح، هڪ حملو ڪندڙ پنهنجي پيڪيج لاء هڪ تازه ڪاري جي اشاعت جي درخواست ڪري سگهي ٿو، جنهن تائين هن کي رسائي آهي، پر پاڻ کي پيڪيج ۾ بيان ڪريو هڪ ٻئي پيڪيج بابت معلومات، جيڪو آخرڪار اپڊيٽ ڪيو ويندو.
مسئلو حل ڪيو ويو 6 ڪلاڪن کان پوءِ خطري جي رپورٽ ٿيڻ کان پوءِ، پر ڪمزوري موجود هئي NPM ۾ ٽيلي ميٽري لاگز جي احاطي کان وڌيڪ. GitHub دعويٰ ڪري ٿو ته سيپٽمبر 2020 کان وٺي هن خطري کي استعمال ڪندي حملن جا نشان نه مليا آهن، پر ان ڳالهه جي ڪا به ضمانت نه آهي ته ان مسئلي جو اڳ ۾ استحصال نه ڪيو ويو آهي.
ٻيو واقعو 26 آڪٽوبر تي ٿيو. replicate.npmjs.com سروس جي ڊيٽابيس سان ٽيڪنيڪل ڪم دوران، خارجي درخواستن تائين رسائي لائق ڊيٽابيس ۾ ڳجهي ڊيٽا جي موجودگي ظاهر ڪئي وئي، اندروني پيڪيجز جي نالن بابت معلومات ظاهر ڪندي جيڪي تبديلي لاگ ۾ ذڪر ڪيا ويا آهن. اهڙن نالن بابت معلومات اندروني منصوبن تي انحصار حملن کي انجام ڏيڻ لاءِ استعمال ٿي سگهي ٿي (فبروري ۾، هڪ ساڳئي حملي جي اجازت ڏنل ڪوڊ کي لاڳو ڪيو وڃي PayPal، Microsoft، Apple، Netflix، Uber ۽ 30 ٻين ڪمپنين جي سرورز تي).
ان کان علاوه، وڏن منصوبن جي ذخيرن جي ڪيسن جي وڌندڙ تعداد جي ڪري اغوا ٿيڻ ۽ بدسلوڪي ڪوڊ کي ترقي يافته ڊولپر اڪائونٽن ذريعي ترقي ڪئي پئي وڃي، GitHub لازمي طور تي ٻه عنصر جي تصديق متعارف ڪرائڻ جو فيصلو ڪيو آهي. تبديلي 2022 جي پهرين ٽه ماهي ۾ لاڳو ٿيندي ۽ سڀ کان مشهور فهرست ۾ شامل پيڪيجز جي سنڀاليندڙن ۽ منتظمين تي لاڳو ٿيندي. ان کان علاوه، انفراسٹرڪچر جي جديديت جي باري ۾ ٻڌايو ويو آهي، جنهن ۾ خودڪار نگراني ۽ پيڪيجز جي نئين نسخن جي تجزيو کي متعارف ڪرايو ويندو خرابي جي تبديلين جي شروعاتي سڃاڻپ لاء.
ياد رهي ته، 2020 ۾ ڪيل هڪ مطالعي جي مطابق، صرف 9.27٪ پيڪيج سنڀاليندڙن جي رسائي کي بچائڻ لاء ٻه عنصر جي تصديق جو استعمال ڪن ٿا، ۽ 13.37٪ ڪيسن ۾، جڏهن نوان اڪائونٽن کي رجسٽر ڪرڻ، ڊولپرز کي ٻيهر استعمال ڪرڻ جي ڪوشش ڪئي وئي ته ٺهڪندڙ پاسورڊ جيڪي ظاهر ٿيا. سڃاتل پاسورڊ ليڪ. پاسورڊ سيڪيورٽي جائزي جي دوران، 12٪ NPM اڪائونٽس (پيڪيجز جو 13٪) اڳڪٿي لائق ۽ معمولي پاسورڊ جي استعمال جي ڪري پهچندا هئا جهڙوڪ "123456." مشڪلاتن ۾ شامل هئا 4 صارف اڪائونٽس مٿين 20 تمام مشهور پيڪيجز مان، 13 اڪائونٽس سان گڏ پيڪيجز هر مهيني 50 ملين کان وڌيڪ ڀيرا ڊائون لوڊ ڪيا ويا، 40 هر مهيني 10 ملين کان وڌيڪ ڊائون لوڊ سان، ۽ 282 هر مهيني 1 ملين کان وڌيڪ ڊائون لوڊ سان. انحصار جي زنجير سان ماڊلز جي لوڊشيڊنگ کي مدنظر رکندي، ناقابل اعتماد اڪائونٽس جو سمجھوتو NPM ۾ سڀني ماڊلز جي 52٪ تائين متاثر ڪري سگھي ٿو.
جو ذريعو: opennet.ru