GitHub அதன் NPM தொகுப்பு களஞ்சிய உள்கட்டமைப்பில் இரண்டு சம்பவங்களை வெளிப்படுத்தியுள்ளது. நவம்பர் 2 அன்று, மூன்றாம் தரப்பு பாதுகாப்பு ஆய்வாளர்கள் (கஜேதன் க்ரிசிபோவ்ஸ்கி மற்றும் மசீஜ் பைச்சோடா), பக் பவுண்டி திட்டத்தின் ஒரு பகுதியாக, NPM களஞ்சியத்தில் பாதிப்பு இருப்பதாகப் புகாரளித்தனர், இது உங்கள் கணக்கைப் பயன்படுத்தி எந்தவொரு தொகுப்பின் புதிய பதிப்பையும் வெளியிட உங்களை அனுமதிக்கிறது. அத்தகைய புதுப்பிப்புகளைச் செய்ய இது அங்கீகரிக்கப்படவில்லை.
NPMக்கான கோரிக்கைகளைச் செயல்படுத்தும் மைக்ரோ சர்வீஸ் குறியீட்டில் உள்ள தவறான அனுமதிச் சரிபார்ப்புகளால் பாதிப்பு ஏற்பட்டது. அங்கீகார சேவையானது கோரிக்கையில் அனுப்பப்பட்ட தரவின் அடிப்படையில் தொகுப்பு அனுமதிச் சரிபார்ப்புகளைச் செய்தது, ஆனால் புதுப்பிப்பை களஞ்சியத்தில் பதிவேற்றிய மற்றொரு சேவை பதிவேற்றப்பட்ட தொகுப்பின் மெட்டாடேட்டா உள்ளடக்கத்தின் அடிப்படையில் தொகுப்பை வெளியிட தீர்மானித்தது. எனவே, தாக்குபவர் தனது தொகுப்பிற்கான புதுப்பிப்பை வெளியிடுமாறு கோரலாம், அதற்கான அணுகல் உள்ளது, ஆனால் தொகுப்பிலேயே மற்றொரு தொகுப்பைப் பற்றிய தகவலைக் குறிப்பிடவும், அது இறுதியில் புதுப்பிக்கப்படும்.
பாதிப்பு பதிவாகிய 6 மணிநேரத்திற்குப் பிறகு சிக்கல் சரி செய்யப்பட்டது, ஆனால் டெலிமெட்ரி பதிவுகளை விட பாதிப்பு NPM இல் இருந்தது. செப்டம்பர் 2020 முதல் இந்த பாதிப்பைப் பயன்படுத்தி தாக்குதல்கள் நடந்ததற்கான தடயங்கள் எதுவும் இல்லை என்று GitHub கூறுகிறது, ஆனால் இதற்கு முன்பு பிரச்சனை பயன்படுத்தப்படவில்லை என்பதற்கு எந்த உத்தரவாதமும் இல்லை.
இரண்டாவது சம்பவம் அக்டோபர் 26 அன்று நடந்தது. replicate.npmjs.com சேவையின் தரவுத்தளத்துடன் தொழில்நுட்ப வேலையின் போது, வெளிப்புற கோரிக்கைகளுக்கு அணுகக்கூடிய தரவுத்தளத்தில் ரகசிய தரவு இருப்பது தெரியவந்தது, மாற்ற பதிவில் குறிப்பிடப்பட்டுள்ள உள் தொகுப்புகளின் பெயர்கள் பற்றிய தகவல்களை வெளிப்படுத்துகிறது. இத்தகைய பெயர்களைப் பற்றிய தகவல்கள் உள் திட்டங்களில் சார்புத் தாக்குதல்களைச் செய்யப் பயன்படுத்தப்படலாம் (பிப்ரவரியில், PayPal, Microsoft, Apple, Netflix, Uber மற்றும் 30 பிற நிறுவனங்களின் சேவையகங்களில் இதேபோன்ற தாக்குதல் குறியீட்டை செயல்படுத்த அனுமதித்தது).
கூடுதலாக, பெரிய திட்டங்களின் களஞ்சியங்கள் அபகரிக்கப்படுவது மற்றும் சமரசம் செய்யும் டெவலப்பர் கணக்குகள் மூலம் தீங்கிழைக்கும் குறியீடுகள் விளம்பரப்படுத்தப்படுவது அதிகரித்து வருவதால், GitHub கட்டாய இரண்டு காரணி அங்கீகாரத்தை அறிமுகப்படுத்த முடிவு செய்துள்ளது. இந்த மாற்றம் 2022 முதல் காலாண்டில் நடைமுறைக்கு வரும் மற்றும் மிகவும் பிரபலமான பட்டியலில் சேர்க்கப்பட்டுள்ள பேக்கேஜ்களின் பராமரிப்பாளர்களுக்கும் நிர்வாகிகளுக்கும் பொருந்தும். கூடுதலாக, உள்கட்டமைப்பின் நவீனமயமாக்கல் பற்றி தெரிவிக்கப்பட்டுள்ளது, இதில் தீங்கிழைக்கும் மாற்றங்களை முன்கூட்டியே கண்டறிவதற்காக தொகுப்புகளின் புதிய பதிப்புகளின் தானியங்கு கண்காணிப்பு மற்றும் பகுப்பாய்வு அறிமுகப்படுத்தப்படும்.
2020 இல் நடத்தப்பட்ட ஒரு ஆய்வின்படி, 9.27% தொகுப்பு பராமரிப்பாளர்கள் மட்டுமே அணுகலைப் பாதுகாக்க இரண்டு காரணி அங்கீகாரத்தைப் பயன்படுத்துகின்றனர், மேலும் 13.37% வழக்குகளில், புதிய கணக்குகளைப் பதிவு செய்யும் போது, டெவலப்பர்கள் சமரசம் செய்யப்பட்ட கடவுச்சொற்களை மீண்டும் பயன்படுத்த முயன்றனர் என்பதை நினைவில் கொள்வோம். அறியப்பட்ட கடவுச்சொல் கசிவுகள். கடவுச்சொல் பாதுகாப்புச் சரிபார்ப்பின் போது, "12" போன்ற யூகிக்கக்கூடிய மற்றும் அற்பமான கடவுச்சொற்களைப் பயன்படுத்தியதால், 13% NPM கணக்குகள் (123456% தொகுப்புகள்) அணுகப்பட்டன. பிரச்சனைக்குரியவைகளில், Top4 மிகவும் பிரபலமான தொகுப்புகளில் இருந்து 20 பயனர் கணக்குகள், ஒரு மாதத்திற்கு 13 மில்லியனுக்கும் அதிகமான முறை பதிவிறக்கம் செய்யப்பட்ட தொகுப்புகளைக் கொண்ட 50 கணக்குகள், மாதத்திற்கு 40 மில்லியனுக்கும் அதிகமான பதிவிறக்கங்களைக் கொண்ட 10 மற்றும் மாதத்திற்கு 282 மில்லியனுக்கும் அதிகமான பதிவிறக்கங்களைக் கொண்ட 1 கணக்குகள். சார்புகளின் சங்கிலியுடன் தொகுதிகள் ஏற்றப்படுவதைக் கணக்கில் எடுத்துக் கொண்டால், நம்பத்தகாத கணக்குகளின் சமரசம் NPM இல் உள்ள அனைத்து தொகுதிக்கூறுகளிலும் 52% வரை பாதிக்கலாம்.
ஆதாரம்: opennet.ru