GitHub తన NPM ప్యాకేజీ రిపోజిటరీ ఇన్ఫ్రాస్ట్రక్చర్లో రెండు సంఘటనలను బహిర్గతం చేసింది. నవంబర్ 2న, బగ్ బౌంటీ ప్రోగ్రామ్లో భాగంగా థర్డ్-పార్టీ సెక్యూరిటీ పరిశోధకులు (కజేటన్ గ్రిజిబోవ్స్కీ మరియు మసీజ్ పీచోటా), NPM రిపోజిటరీలో దుర్బలత్వం ఉన్నట్లు నివేదించారు, అది మీ ఖాతాను ఉపయోగించి ఏదైనా ప్యాకేజీ యొక్క క్రొత్త సంస్కరణను ప్రచురించడానికి మిమ్మల్ని అనుమతిస్తుంది, అటువంటి నవీకరణలను నిర్వహించడానికి అధికారం లేదు.
NPMకి అభ్యర్థనలను ప్రాసెస్ చేసే మైక్రోసర్వీస్ కోడ్లో సరికాని అనుమతి తనిఖీల వల్ల ఈ దుర్బలత్వం ఏర్పడింది. అభ్యర్థనలో ఆమోదించబడిన డేటా ఆధారంగా అధికార సేవ ప్యాకేజీ అనుమతి తనిఖీలను నిర్వహించింది, కానీ రిపోజిటరీకి అప్లోడ్ చేసిన మరొక సేవ అప్లోడ్ చేయబడిన ప్యాకేజీ యొక్క మెటాడేటా కంటెంట్ ఆధారంగా ప్రచురించడానికి ప్యాకేజీని నిర్ణయించింది. అందువలన, దాడి చేసే వ్యక్తి తన ప్యాకేజీకి సంబంధించిన అప్డేట్ను ప్రచురించమని అభ్యర్థించవచ్చు, దానికి అతను యాక్సెస్ను కలిగి ఉంటాడు, కానీ ప్యాకేజీలోనే మరొక ప్యాకేజీ గురించిన సమాచారాన్ని పేర్కొనవచ్చు, అది చివరికి నవీకరించబడుతుంది.
దుర్బలత్వం నివేదించబడిన 6 గంటల తర్వాత సమస్య పరిష్కరించబడింది, అయితే టెలిమెట్రీ లాగ్ల కవర్ కంటే ఎక్కువ NPMలో దుర్బలత్వం ఉంది. సెప్టెంబరు 2020 నుండి ఈ దుర్బలత్వాన్ని ఉపయోగించి దాడుల జాడలు లేవని GitHub పేర్కొంది, అయితే సమస్య ఇంతకు ముందు ఉపయోగించబడలేదని హామీ లేదు.
Второй инцидент произошёл 26 октября. В ходе технических работ с базой данной сервиса replicate.npmjs.com было выявлено присутствие в доступной для внешних запросов БД конфиденциальных данных, раскрывающих информацию об именах внутренних пакетов, которые упоминались в логе изменений. Информация о подобных именах может быть использована для совершения атак на зависимости во внутренних проектах (в феврале подобная атака позволила выполнить код на సర్వర్లు PayPal, Micrоsoft, Apple, Netflix, Uber и ещё 30 компаний).
అదనంగా, పెద్ద ప్రాజెక్ట్ల రిపోజిటరీలు హైజాక్ చేయబడటం మరియు డెవలపర్ ఖాతాల రాజీ ద్వారా హానికరమైన కోడ్ ప్రచారం చేయబడుతున్న కేసుల సంఖ్య పెరుగుతున్నందున, GitHub తప్పనిసరిగా రెండు-కారకాల ప్రమాణీకరణను ప్రవేశపెట్టాలని నిర్ణయించింది. ఈ మార్పు 2022 మొదటి త్రైమాసికంలో అమలులోకి వస్తుంది మరియు అత్యంత జనాదరణ పొందిన జాబితాలో చేర్చబడిన ప్యాకేజీల నిర్వహణదారులు మరియు నిర్వాహకులకు వర్తిస్తుంది. అదనంగా, ఇన్ఫ్రాస్ట్రక్చర్ యొక్క ఆధునీకరణ గురించి నివేదించబడింది, దీనిలో హానికరమైన మార్పులను ముందస్తుగా గుర్తించడం కోసం ప్యాకేజీల యొక్క కొత్త వెర్షన్ల యొక్క స్వయంచాలక పర్యవేక్షణ మరియు విశ్లేషణ ప్రవేశపెట్టబడుతుంది.
2020లో నిర్వహించిన ఒక అధ్యయనం ప్రకారం, 9.27% ప్యాకేజీ నిర్వహణదారులు మాత్రమే యాక్సెస్ను రక్షించడానికి రెండు-కారకాల ప్రామాణీకరణను ఉపయోగిస్తున్నారని గుర్తుంచుకోండి మరియు 13.37% కేసులలో, కొత్త ఖాతాలను నమోదు చేసేటప్పుడు, డెవలపర్లు కనిపించిన రాజీ పాస్వర్డ్లను మళ్లీ ఉపయోగించేందుకు ప్రయత్నించారు. తెలిసిన పాస్వర్డ్ లీక్లు. పాస్వర్డ్ భద్రతా సమీక్ష సమయంలో, “12” వంటి ఊహాజనిత మరియు అల్పమైన పాస్వర్డ్లను ఉపయోగించడం వల్ల 13% NPM ఖాతాలు (123456% ప్యాకేజీలు) యాక్సెస్ చేయబడ్డాయి. సమస్యాత్మకమైన వాటిలో టాప్ 4 అత్యంత ప్రజాదరణ పొందిన ప్యాకేజీల నుండి 20 వినియోగదారు ఖాతాలు, నెలకు 13 మిలియన్ కంటే ఎక్కువ సార్లు డౌన్లోడ్ చేయబడిన ప్యాకేజీలతో 50 ఖాతాలు, నెలకు 40 మిలియన్ కంటే ఎక్కువ డౌన్లోడ్లతో 10 మరియు నెలకు 282 మిలియన్ కంటే ఎక్కువ డౌన్లోడ్లతో 1 ఉన్నాయి. డిపెండెన్సీల శ్రేణిలో మాడ్యూల్ల లోడ్ను పరిగణనలోకి తీసుకుంటే, అవిశ్వసనీయ ఖాతాల రాజీ NPMలోని అన్ని మాడ్యూల్లలో 52% వరకు ప్రభావితం కావచ్చు.
మూలం: opennet.ru
