GitHub அதன் NPM தொகுப்பு களஞ்சிய உள்கட்டமைப்பில் இரண்டு சம்பவங்களை வெளிப்படுத்தியது. நவம்பர் 2 ஆம் தேதி, மூன்றாம் தரப்பு பாதுகாப்பு ஆராய்ச்சியாளர்கள் (Kajetan Grzybowski மற்றும் Maciej Piechota) ஒரு பிழை பவுண்டி திட்டத்தின் மூலம் NPM களஞ்சியத்தில் ஒரு பாதிப்பைப் புகாரளித்தனர். இந்த பாதிப்பு, அத்தகைய புதுப்பிப்புகளைச் செய்ய அங்கீகரிக்கப்படாத கணக்கைப் பயன்படுத்தி எந்தவொரு தொகுப்பின் புதிய பதிப்பையும் வெளியிட அனுமதிக்கிறது.
NPM கோரிக்கைகளைக் கையாளும் மைக்ரோ சர்வீஸ்களின் குறியீட்டில் முறையற்ற அனுமதி சரிபார்ப்பால் இந்த பாதிப்பு ஏற்பட்டது. கோரிக்கையில் அனுப்பப்பட்ட தரவின் அடிப்படையில் அங்கீகார சேவை தொகுப்பு அணுகல் உரிமைகளைச் சரிபார்த்தது, ஆனால் மற்றொரு சேவை, புதுப்பிப்பை களஞ்சியத்தில் பதிவேற்றி, பதிவேற்றப்பட்ட தொகுப்பில் உள்ள மெட்டாடேட்டாவின் அடிப்படையில் எந்த தொகுப்பை வெளியிட வேண்டும் என்பதைத் தீர்மானித்தது. இதனால், ஒரு தாக்குபவர் தங்கள் சொந்த தொகுப்பிற்கான புதுப்பிப்பைக் கோரலாம், அதற்கு அவர்கள் அணுகலாம், ஆனால் தொகுப்பிலேயே மற்றொரு தொகுப்பு பற்றிய தகவலைக் குறிப்பிடலாம், பின்னர் அது புதுப்பிக்கப்படும்.
பாதிப்பு குறித்து புகாரளிக்கப்பட்ட ஆறு மணி நேரத்திற்குப் பிறகு இந்தச் சிக்கல் சரி செய்யப்பட்டது, ஆனால் அது டெலிமெட்ரி பதிவுகள் உள்ளடக்கியதை விட NPM இல் நீண்ட காலம் நீடித்தது. செப்டம்பர் 2020 முதல் இந்தப் பாதிப்பைப் பயன்படுத்தி தாக்குதல்கள் நடத்தப்பட்டதற்கான எந்த தடயங்களும் கண்டறியப்படவில்லை என்று GitHub கூறுகிறது, ஆனால் இந்தப் பிரச்சினை இதற்கு முன்பு பயன்படுத்தப்படவில்லை என்பதற்கு எந்த உத்தரவாதமும் இல்லை.
இரண்டாவது சம்பவம் அக்டோபர் 26 அன்று நிகழ்ந்தது. replicate.npmjs.com தரவுத்தளத்தின் பராமரிப்பின் போது, வெளிப்புறமாக அணுகக்கூடிய அந்தத் தரவுத்தளத்தில் இரகசியத் தரவுகள் கண்டறியப்பட்டன. அவை, மாற்றப் பதிவேட்டில் குறிப்பிடப்பட்டிருந்த உள் தொகுப்புகளின் பெயர்கள் குறித்த தகவல்களை வெளிப்படுத்தின. அத்தகைய பெயர்கள் பற்றிய தகவல்களை, உள் திட்டங்களில் உள்ள சார்புநிலைகளைத் தாக்குவதற்குப் பயன்படுத்த முடியும் (பிப்ரவரியில், இதேபோன்ற ஒரு தாக்குதல், நிரல் செயல்படுத்தலை அனுமதித்தது). சேவையகங்கள் பேபால், மைக்ரோசாப்ட், ஆப்பிள், நெட்ஃபிலிக்ஸ், ஊபர் மற்றும் மேலும் 30 நிறுவனங்கள்).
மேலும், பெரிய திட்டங்களின் களஞ்சியங்கள் அதிகரித்து வருவதாலும், டெவலப்பர் கணக்குகளின் சமரசம் மூலம் தீங்கிழைக்கும் குறியீடு பயன்படுத்தப்படுவதாலும், கட்டாய இரண்டு-காரணி அங்கீகாரத்தை அறிமுகப்படுத்த GitHub முடிவு செய்துள்ளது. இந்த மாற்றம் 2022 ஆம் ஆண்டின் முதல் காலாண்டில் நடைமுறைக்கு வரும் மற்றும் மிகவும் பிரபலமானவற்றின் பட்டியலில் சேர்க்கப்பட்டுள்ள தொகுப்புகளின் பராமரிப்பாளர்கள் மற்றும் நிர்வாகிகளுக்குப் பொருந்தும். கூடுதலாக, உள்கட்டமைப்பு மேம்படுத்தல் அறிவிக்கப்பட்டுள்ளது, இதில் தீங்கிழைக்கும் மாற்றங்களை முன்கூட்டியே கண்டறிவதற்காக புதிய தொகுப்பு பதிப்புகளின் தானியங்கி கண்காணிப்பு மற்றும் பகுப்பாய்வு ஆகியவை அடங்கும்.
நினைவூட்டலாக, 2020 ஆய்வின்படி, தொகுப்பு பராமரிப்பாளர்களில் 9.27% பேர் மட்டுமே அணுகலைப் பாதுகாக்க இரண்டு-காரணி அங்கீகாரத்தைப் பயன்படுத்துகின்றனர், மேலும் 13.37% வழக்குகளில், புதிய கணக்குகளைப் பதிவு செய்யும் போது அறியப்பட்ட கடவுச்சொல் கசிவுகளிலிருந்து சமரசம் செய்யப்பட்ட கடவுச்சொற்களை டெவலப்பர்கள் மீண்டும் பயன்படுத்த முயன்றனர். கடவுச்சொல் வலிமை தணிக்கையில், "123456" போன்ற கணிக்கக்கூடிய மற்றும் அற்பமான கடவுச்சொற்களைப் பயன்படுத்துவதால் 12% NPM கணக்குகள் (13% தொகுப்புகள்) சமரசம் செய்யப்பட்டன என்பது தெரியவந்தது. பாதிக்கப்பட்ட கணக்குகளில், மிகவும் பிரபலமான முதல் 20 தொகுப்புகளில் இருந்து நான்கு பயனர் கணக்குகள், மாதத்திற்கு 50 மில்லியனுக்கும் அதிகமான முறை பதிவிறக்கம் செய்யப்பட்ட தொகுப்புகளைக் கொண்ட 13 கணக்குகள், மாதத்திற்கு 10 மில்லியனுக்கும் அதிகமான பதிவிறக்கங்களைக் கொண்ட 40 கணக்குகள் மற்றும் மாதத்திற்கு 1 மில்லியனுக்கும் அதிகமான பதிவிறக்கங்களைக் கொண்ட 282 கணக்குகள் ஆகியவை அடங்கும். சார்புச் சங்கிலி வழியாக தொகுதி ஏற்றுதலைக் கணக்கில் எடுத்துக்கொண்டால், நம்பத்தகாத சான்றுகளின் சமரசம் NPM இல் உள்ள அனைத்து தொகுதிகளிலும் 52% வரை பாதிக்கப்பட்டிருக்கலாம்.
ஆதாரம்: opennet.ru
