ГитХуб је открио два инцидента у својој инфраструктури спремишта НПМ пакета. Дана 2. новембра, независни истраживачи безбедности (Кајетан Грзибовски и Мациеј Пиецхота), као део програма Буг Боунти, пријавили су присуство рањивости у НПМ репозиторијуму која вам омогућава да објавите нову верзију било ког пакета користећи свој налог, која није овлашћена да врши таква ажурирања.
Рањивост је узрокована нетачним проверама дозвола у коду микросервиса који обрађују захтеве НПМ-у. Сервис ауторизације је извршио проверу дозвола пакета на основу података прослеђених у захтеву, али друга услуга која је отпремила ажурирање у спремиште одредила је да се пакет објави на основу садржаја метаподатака отпремљеног пакета. Тако би нападач могао да затражи објављивање ажурирања за свој пакет коме има приступ, али да у самом пакету наведе информације о другом пакету, који би на крају био ажуриран.
Проблем је решен 6 сати након што је рањивост пријављена, али је рањивост била присутна у НПМ-у дуже од покривања дневника телеметрије. ГитХуб тврди да од септембра 2020. није било трагова напада који користе ову рањивост, али нема гаранције да проблем није раније искоришћен.
Други инцидент догодио се 26. октобра. Током техничког рада са базом података сервиса реплицате.нпмјс.цом, откривено је присуство поверљивих података у бази података доступној екстерним захтевима, који откривају информације о називима интерних пакета који су наведени у дневнику промена. Информације о таквим именима могу се користити за извођење напада зависности на интерне пројекте (у фебруару је сличан напад омогућио извршавање кода на серверима ПаиПал, Мицрософт, Аппле, Нетфлик, Убер и 30 других компанија).
Поред тога, због све већег броја случајева отимања складишта великих пројеката и промовисања злонамерног кода путем компромитујућих налога програмера, ГитХуб је одлучио да уведе обавезну двофакторску аутентификацију. Промена ће ступити на снагу у првом кварталу 2022. године и односиће се на одржаваоце и администраторе пакета који су укључени у најпопуларнију листу. Додатно, извештава се о модернизацији инфраструктуре у којој ће бити уведено аутоматизовано праћење и анализа нових верзија пакета за рано откривање злонамерних промена.
Подсетимо се да, према студији спроведеној 2020. године, само 9.27% одржавалаца пакета користи двофакторску аутентификацију да би заштитили приступ, а у 13.37% случајева, приликом регистрације нових налога, програмери су покушали да поново користе компромитоване лозинке које су се појавиле у позната лозинка цури. Током безбедносне провере лозинке, приступљено је 12% НПМ налога (13% пакета) због употребе предвидљивих и тривијалних лозинки као што је „123456“. Међу проблематичнима била су 4 корисничка налога из Топ 20 најпопуларнијих пакета, 13 налога са пакетима који се преузимају више од 50 милиона пута месечно, 40 са више од 10 милиона преузимања месечно и 282 са више од милион преузимања месечно. Узимајући у обзир учитавање модула дуж ланца зависности, компромитовање непоузданих налога може утицати на до 1% свих модула у НПМ-у.
Извор: опеннет.ру