GitHub imefichua matukio mawili katika miundombinu yake ya hazina ya kifurushi cha NPM. Mnamo tarehe 2 Novemba, watafiti wengine wa usalama (Kajetan Grzybowski na Maciej Piechota), kama sehemu ya mpango wa Bug Bounty, waliripoti kuwepo kwa athari katika hazina ya NPM inayokuruhusu kuchapisha toleo jipya la kifurushi chochote kwa kutumia akaunti yako, ambayo haijaidhinishwa kufanya sasisho kama hizo.
Athari hii ilisababishwa na ukaguzi wa ruhusa usio sahihi katika msimbo wa huduma ndogo ambazo huchakata maombi kwa NPM. Huduma ya uidhinishaji ilifanya ukaguzi wa ruhusa za kifurushi kulingana na data iliyopitishwa katika ombi, lakini huduma nyingine iliyopakia sasisho kwenye hazina iliamua kifurushi cha kuchapisha kulingana na maudhui ya metadata ya kifurushi kilichopakiwa. Kwa hivyo, mshambuliaji anaweza kuomba kuchapishwa kwa sasisho la kifurushi chake, ambacho anaweza kufikia, lakini taja kwenye kifurushi yenyewe habari kuhusu kifurushi kingine, ambacho hatimaye kitasasishwa.
Tatizo lilirekebishwa saa 6 baada ya athari kuripotiwa, lakini athari ilikuwepo katika NPM kwa muda mrefu kuliko jalada la kumbukumbu za telemetry. GitHub inadai kuwa hakujakuwa na athari za mashambulizi kwa kutumia udhaifu huu tangu Septemba 2020, lakini hakuna hakikisho kwamba tatizo halijatumiwa hapo awali.
Tukio la pili lilitokea Oktoba 26. Wakati wa kazi ya kiufundi na hifadhidata ya huduma ya replicate.npmjs.com, uwepo wa data ya siri katika hifadhidata inayoweza kufikiwa na maombi ya nje ilifichuliwa, ikifichua habari kuhusu majina ya vifurushi vya ndani ambavyo vilitajwa kwenye logi ya mabadiliko. Taarifa kuhusu majina kama haya inaweza kutumika kutekeleza mashambulizi ya utegemezi kwa miradi ya ndani (mwezi Februari, msimbo sawa na huo uliruhusiwa kutekelezwa kwenye seva za PayPal, Microsoft, Apple, Netflix, Uber na makampuni mengine 30).
Kwa kuongezea, kutokana na kuongezeka kwa idadi ya kesi za hazina za miradi mikubwa kutekwa nyara na msimbo hasidi kukuzwa kupitia akaunti za wasanidi programu zinazohatarisha, GitHub imeamua kuanzisha uthibitishaji wa lazima wa mambo mawili. Mabadiliko hayo yataanza kutumika katika robo ya kwanza ya 2022 na yatatumika kwa watunzaji na wasimamizi wa vifurushi vilivyojumuishwa kwenye orodha maarufu zaidi. Zaidi ya hayo, inaripotiwa kuhusu uboreshaji wa miundombinu, ambapo ufuatiliaji na uchambuzi wa kiotomatiki wa matoleo mapya ya vifurushi utaanzishwa ili kugundua mapema mabadiliko mabaya.
Wacha tukumbuke kwamba, kulingana na utafiti uliofanywa mnamo 2020, ni 9.27% ββtu ya watunza vifurushi hutumia uthibitishaji wa sababu mbili kulinda ufikiaji, na katika 13.37% ya kesi, wakati wa kusajili akaunti mpya, watengenezaji walijaribu kutumia tena nywila zilizoathiriwa. uvujaji wa nenosiri unaojulikana. Wakati wa ukaguzi wa usalama wa nenosiri, 12% ya akaunti za NPM (13% ya vifurushi) zilifikiwa kwa sababu ya matumizi ya manenosiri yanayotabirika na madogo kama vile "123456." Miongoni mwa matatizo yalikuwa akaunti 4 za watumiaji kutoka kwenye vifurushi 20 maarufu zaidi, akaunti 13 zilizo na vifurushi vilivyopakuliwa zaidi ya mara milioni 50 kwa mwezi, 40 zilizopakuliwa zaidi ya milioni 10 kwa mwezi, na 282 zilizopakuliwa zaidi ya milioni 1 kwa mwezi. Kwa kuzingatia upakiaji wa moduli pamoja na msururu wa utegemezi, maelewano ya akaunti zisizoaminika yanaweza kuathiri hadi 52% ya moduli zote katika NPM.
Chanzo: opennet.ru