GitHub parantos ngungkabkeun dua kajadian dina infrastruktur gudang pakét NPM na. Dina 2 Nopémber, panalungtik kaamanan pihak katilu (Kajetan Grzybowski sareng Maciej Piechota), salaku bagian tina program Bug Bounty, ngalaporkeun ayana kerentanan dina gudang NPM anu ngamungkinkeun anjeun nyebarkeun vérsi énggal tina sagala pakét nganggo akun anjeun, nu teu otorisasi pikeun ngalakukeun apdet sapertos.
Kerentanan ieu disababkeun ku cek idin anu salah dina kode layanan mikro anu ngolah pamundut ka NPM. Ladenan otorisasi ngalaksanakeun cék idin pakét dumasar kana data anu disayogikeun dina pamundut, tapi jasa sanés anu ngunggah pembaruan ka Repository nangtukeun pakét pikeun nyebarkeun dumasar kana eusi metadata tina pakét anu diunggah. Janten, panyerang tiasa nyuhunkeun publikasi apdet pikeun pakét na, anu anjeunna gaduh aksés, tapi netepkeun dina pakét éta inpormasi ngeunaan pakét sanés, anu antukna bakal diropéa.
Masalahna dibereskeun 6 jam saatos kerentanan dilaporkeun, tapi kerentananna aya dina NPM langkung lami tibatan panutup log telemétri. GitHub nyatakeun yén teu aya jejak serangan anu ngagunakeun kerentanan ieu ti Séptémber 2020, tapi teu aya jaminan yén masalahna henteu acan dieksploitasi sateuacana.
Kajadian kadua lumangsung dina 26 Oktober. Salila karya téknis sareng pangkalan data jasa replicate.npmjs.com, ayana data rahasia dina pangkalan data anu tiasa diaksés ku pamundut éksternal diungkabkeun, ngungkabkeun inpormasi ngeunaan nami bungkusan internal anu disebatkeun dina log parobahan. Inpormasi ngeunaan nami sapertos kitu tiasa dianggo pikeun ngalaksanakeun serangan kagumantungan dina proyék internal (dina bulan Pebruari, serangan anu sami ngamungkinkeun kode dieksekusi dina server PayPal, Microsoft, Apple, Netflix, Uber sareng 30 perusahaan sanés).
Sajaba ti éta, alatan ngaronjatna jumlah kasus repositories proyék badag keur dibajak jeung kode jahat keur diwanohkeun ngaliwatan compromising akun pamekar, GitHub geus mutuskeun pikeun ngawanohkeun wajib auténtikasi dua faktor. Parobihan éta bakal dilaksanakeun dina kuartal kahiji 2022 sareng bakal dilarapkeun ka pangurus sareng pangurus bungkusan anu kalebet dina daptar anu pang populerna. Salaku tambahan, dilaporkeun ngeunaan modérnisasi infrastruktur, dimana ngawaskeun otomatis sareng analisa vérsi énggal bungkusan bakal diwanohkeun pikeun deteksi awal parobahan jahat.
Hayu urang émut yén, dumasar kana panilitian anu dilakukeun dina taun 2020, ngan ukur 9.27% tina pangurus pakét nganggo auténtikasi dua-faktor pikeun ngajagi aksés, sareng dina 13.37% kasus, nalika ngadaptar akun énggal, pamekar nyobian nganggo deui kecap konci anu dikompromi anu muncul dina. bocor sandi dipikawanoh. Salila ulasan kaamanan sandi, 12% tina akun NPM (13% tina bungkusan) diaksés kusabab ngagunakeun kecap konci anu tiasa diprediksi sareng sepele sapertos "123456." Diantara anu bermasalah nyaéta 4 akun pangguna tina Top 20 bungkusan anu paling populér, 13 akun kalayan pakét anu diunduh langkung ti 50 juta kali per bulan, 40 kalayan langkung ti 10 juta unduhan per bulan, sareng 282 kalayan langkung ti 1 juta unduhan per bulan. Nganggap beban modul sapanjang ranté dependensi, kompromi akun anu teu dipercaya tiasa mangaruhan dugi ka 52% tina sadaya modul dina NPM.
sumber: opennet.ru