GitHub తన NPM ప్యాకేజీ రిపోజిటరీ ఇన్ఫ్రాస్ట్రక్చర్లో రెండు సంఘటనలను బహిర్గతం చేసింది. నవంబర్ 2న, బగ్ బౌంటీ ప్రోగ్రామ్లో భాగంగా థర్డ్-పార్టీ సెక్యూరిటీ పరిశోధకులు (కజేటన్ గ్రిజిబోవ్స్కీ మరియు మసీజ్ పీచోటా), NPM రిపోజిటరీలో దుర్బలత్వం ఉన్నట్లు నివేదించారు, అది మీ ఖాతాను ఉపయోగించి ఏదైనా ప్యాకేజీ యొక్క క్రొత్త సంస్కరణను ప్రచురించడానికి మిమ్మల్ని అనుమతిస్తుంది, అటువంటి నవీకరణలను నిర్వహించడానికి అధికారం లేదు.
NPMకి అభ్యర్థనలను ప్రాసెస్ చేసే మైక్రోసర్వీస్ కోడ్లో సరికాని అనుమతి తనిఖీల వల్ల ఈ దుర్బలత్వం ఏర్పడింది. అభ్యర్థనలో ఆమోదించబడిన డేటా ఆధారంగా అధికార సేవ ప్యాకేజీ అనుమతి తనిఖీలను నిర్వహించింది, కానీ రిపోజిటరీకి అప్లోడ్ చేసిన మరొక సేవ అప్లోడ్ చేయబడిన ప్యాకేజీ యొక్క మెటాడేటా కంటెంట్ ఆధారంగా ప్రచురించడానికి ప్యాకేజీని నిర్ణయించింది. అందువలన, దాడి చేసే వ్యక్తి తన ప్యాకేజీకి సంబంధించిన అప్డేట్ను ప్రచురించమని అభ్యర్థించవచ్చు, దానికి అతను యాక్సెస్ను కలిగి ఉంటాడు, కానీ ప్యాకేజీలోనే మరొక ప్యాకేజీ గురించిన సమాచారాన్ని పేర్కొనవచ్చు, అది చివరికి నవీకరించబడుతుంది.
దుర్బలత్వం నివేదించబడిన 6 గంటల తర్వాత సమస్య పరిష్కరించబడింది, అయితే టెలిమెట్రీ లాగ్ల కవర్ కంటే ఎక్కువ NPMలో దుర్బలత్వం ఉంది. సెప్టెంబరు 2020 నుండి ఈ దుర్బలత్వాన్ని ఉపయోగించి దాడుల జాడలు లేవని GitHub పేర్కొంది, అయితే సమస్య ఇంతకు ముందు ఉపయోగించబడలేదని హామీ లేదు.
రెండో సంఘటన అక్టోబర్ 26న జరిగింది. replicate.npmjs.com సేవ యొక్క డేటాబేస్తో సాంకేతిక పని సమయంలో, బాహ్య అభ్యర్థనలకు ప్రాప్యత చేయగల డేటాబేస్లో రహస్య డేటా ఉనికిని బహిర్గతం చేసింది, మార్పు లాగ్లో పేర్కొన్న అంతర్గత ప్యాకేజీల పేర్ల గురించి సమాచారాన్ని వెల్లడిస్తుంది. అటువంటి పేర్ల గురించి సమాచారాన్ని అంతర్గత ప్రాజెక్ట్లపై డిపెండెన్సీ అటాక్లను నిర్వహించడానికి ఉపయోగించవచ్చు (ఫిబ్రవరిలో, PayPal, Microsoft, Apple, Netflix, Uber మరియు 30 ఇతర కంపెనీల సర్వర్లపై ఇలాంటి దాడి కోడ్ని అమలు చేయడానికి అనుమతించబడింది).
అదనంగా, పెద్ద ప్రాజెక్ట్ల రిపోజిటరీలు హైజాక్ చేయబడటం మరియు డెవలపర్ ఖాతాల రాజీ ద్వారా హానికరమైన కోడ్ ప్రచారం చేయబడుతున్న కేసుల సంఖ్య పెరుగుతున్నందున, GitHub తప్పనిసరిగా రెండు-కారకాల ప్రమాణీకరణను ప్రవేశపెట్టాలని నిర్ణయించింది. ఈ మార్పు 2022 మొదటి త్రైమాసికంలో అమలులోకి వస్తుంది మరియు అత్యంత జనాదరణ పొందిన జాబితాలో చేర్చబడిన ప్యాకేజీల నిర్వహణదారులు మరియు నిర్వాహకులకు వర్తిస్తుంది. అదనంగా, ఇన్ఫ్రాస్ట్రక్చర్ యొక్క ఆధునీకరణ గురించి నివేదించబడింది, దీనిలో హానికరమైన మార్పులను ముందస్తుగా గుర్తించడం కోసం ప్యాకేజీల యొక్క కొత్త వెర్షన్ల యొక్క స్వయంచాలక పర్యవేక్షణ మరియు విశ్లేషణ ప్రవేశపెట్టబడుతుంది.
2020లో నిర్వహించిన ఒక అధ్యయనం ప్రకారం, 9.27% ప్యాకేజీ నిర్వహణదారులు మాత్రమే యాక్సెస్ను రక్షించడానికి రెండు-కారకాల ప్రామాణీకరణను ఉపయోగిస్తున్నారని గుర్తుంచుకోండి మరియు 13.37% కేసులలో, కొత్త ఖాతాలను నమోదు చేసేటప్పుడు, డెవలపర్లు కనిపించిన రాజీ పాస్వర్డ్లను మళ్లీ ఉపయోగించేందుకు ప్రయత్నించారు. తెలిసిన పాస్వర్డ్ లీక్లు. పాస్వర్డ్ భద్రతా సమీక్ష సమయంలో, “12” వంటి ఊహాజనిత మరియు అల్పమైన పాస్వర్డ్లను ఉపయోగించడం వల్ల 13% NPM ఖాతాలు (123456% ప్యాకేజీలు) యాక్సెస్ చేయబడ్డాయి. సమస్యాత్మకమైన వాటిలో టాప్ 4 అత్యంత ప్రజాదరణ పొందిన ప్యాకేజీల నుండి 20 వినియోగదారు ఖాతాలు, నెలకు 13 మిలియన్ కంటే ఎక్కువ సార్లు డౌన్లోడ్ చేయబడిన ప్యాకేజీలతో 50 ఖాతాలు, నెలకు 40 మిలియన్ కంటే ఎక్కువ డౌన్లోడ్లతో 10 మరియు నెలకు 282 మిలియన్ కంటే ఎక్కువ డౌన్లోడ్లతో 1 ఉన్నాయి. డిపెండెన్సీల శ్రేణిలో మాడ్యూల్ల లోడ్ను పరిగణనలోకి తీసుకుంటే, అవిశ్వసనీయ ఖాతాల రాజీ NPMలోని అన్ని మాడ్యూల్లలో 52% వరకు ప్రభావితం కావచ్చు.
మూలం: opennet.ru