Alatan ngaronjatna kasus repositories proyék badag keur dibajak jeung kode jahat keur promosi ngaliwatan kompromi tina akun pamekar, GitHub ngenalkeun verifikasi akun dimekarkeun nyebar. Kapisah, auténtikasi dua-faktor wajib bakal diwanohkeun pikeun pangurus sareng pangurus 500 bungkusan NPM anu pang populerna di awal taun payun.
Ti 7 Désémber 2021 dugi ka 4 Januari 2022, sadaya pangropéa anu ngagaduhan hak nyebarkeun pakét NPM, tapi henteu nganggo auténtikasi dua faktor, bakal dialihkeun kana verifikasi akun anu diperpanjang. Verifikasi canggih merlukeun ngasupkeun kode hiji-waktos anu dikirim ku email nalika nyobian asup kana situs web npmjs.com atanapi ngalakukeun operasi anu dioténtikasi dina utilitas npm.
verifikasi ditingkatkeun teu ngagantikeun, tapi ngan complements, auténtikasi dua-faktor pilihan saméméhna sadia, nu merlukeun konfirmasi maké kecap akses hiji-waktos (TOTP). Nalika auténtikasi dua faktor diaktipkeun, verifikasi email anu diperpanjang henteu diterapkeun. Dimimitian 1 Pebruari 2022, prosés ngalih ka auténtikasi dua faktor wajib bakal dimimitian pikeun pangropéa 100 bungkusan NPM anu paling populér kalayan jumlah kagumantungan anu paling ageung. Saatos ngarengsekeun migrasi saratus kahiji, parobahanana bakal disebarkeun ka 500 pakét NPM anu pang populerna ku jumlah dependensi.
Salian skéma auténtikasi dua-faktor anu ayeuna sayogi dumasar kana aplikasi pikeun ngahasilkeun kecap akses sakali (Authy, Google Authenticator, FreeOTP, jsb.), dina April 2022 aranjeunna ngarencanakeun pikeun nambihan kamampuan ngagunakeun konci hardware sareng panyeken biometrik, pikeun nu aya rojongan pikeun protokol WebAuthn, sarta ogé kamampuhan pikeun ngadaptar jeung ngatur rupa faktor auténtikasi tambahan.
Hayu urang émut yén, dumasar kana panilitian anu dilakukeun dina taun 2020, ngan ukur 9.27% tina pangurus pakét nganggo auténtikasi dua-faktor pikeun ngajagi aksés, sareng dina 13.37% kasus, nalika ngadaptar akun énggal, pamekar nyobian nganggo deui kecap konci anu dikompromi anu muncul dina. bocor sandi dipikawanoh. Salila ulasan kaamanan sandi, 12% tina akun NPM (13% tina bungkusan) diaksés kusabab ngagunakeun kecap konci anu tiasa diprediksi sareng sepele sapertos "123456." Diantara anu bermasalah nyaéta 4 akun pangguna tina Top 20 bungkusan anu paling populér, 13 akun kalayan pakét anu diunduh langkung ti 50 juta kali per bulan, 40 kalayan langkung ti 10 juta unduhan per bulan, sareng 282 kalayan langkung ti 1 juta unduhan per bulan. Nganggap beban modul sapanjang ranté dependensi, kompromi akun anu teu dipercaya tiasa mangaruhan dugi ka 52% tina sadaya modul dina NPM.
sumber: opennet.ru