GitHub дар инфрасохтори анбори бастаи NPM ду ҳодисаро ошкор кардааст. Рӯзи 2 ноябр муҳаққиқони амниятии тарафи сеюм (Kajetan Grzybowski ва Maciej Piechota) ҳамчун як қисми барномаи Bug Bounty, дар бораи мавҷудияти осебпазирӣ дар анбори NPM гузориш доданд, ки ба шумо имкон медиҳад версияи нави ҳама гуна бастаҳоро бо истифода аз ҳисоби худ нашр кунед, ки барои иҷрои ин гуна навсозиҳо ваколатдор нест.
Ин осебпазирӣ дар натиҷаи санҷишҳои нодурусти иҷозат дар коди хидматрасонии микросервисҳо, ки дархостҳоро ба NPM коркард мекунанд, ба вуҷуд омадааст. Хадамоти авторизатсия санҷиши иҷозати бастаҳоро дар асоси маълумоти дар дархост фиристодашуда анҷом дод, аммо хидмати дигаре, ки навсозиро ба анбор бор кардааст, бастаро барои интишор дар асоси мундариҷаи метадотаҳои бастаи боршуда муайян кард. Ҳамин тариқ, ҳамлакунанда метавонад нашри навсозии бастаи худро, ки ба он дастрасӣ дорад, дархост кунад, аммо дар худи баста маълумотро дар бораи бастаи дигар, ки дар ниҳоят навсозӣ мешавад, нишон диҳад.
Масъала 6 соат пас аз гузориши осебпазирӣ ҳал карда шуд, аммо осебпазирӣ дар NPM назар ба фарогирии гузоришҳои телеметрӣ дарозтар буд. GitHub иддао дорад, ки аз моҳи сентябри соли 2020 ягон осори ҳамлаҳо бо истифода аз ин осебпазирӣ вуҷуд надошт, аммо ҳеҷ кафолате нест, ки мушкилот қаблан истифода нашудаанд.
Ҳодисаи дуввум рӯзи 26 октябр рух дод. Ҳангоми кори техникӣ бо пойгоҳи додаҳои хидмати replicate.npmjs.com мавҷудияти маълумоти махфӣ дар пойгоҳи додаҳо, ки барои дархостҳои беруна дастрасанд, ошкор карда шуд, ки маълумот дар бораи номҳои бастаҳои дохилӣ, ки дар гузориши тағирот зикр шудаанд, ошкор карда шуд. Маълумот дар бораи чунин номҳо метавонад барои анҷом додани ҳамлаҳои вобастагӣ ба лоиҳаҳои дохилӣ истифода шавад (дар моҳи феврал як ҳамлаи шабеҳ имкон дод, ки код дар серверҳои PayPal, Microsoft, Apple, Netflix, Uber ва 30 ширкати дигар иҷро карда шавад).
Илова бар ин, аз сабаби афзоиши шумораи анборҳои лоиҳаҳои калон ва пешбурди рамзи зараровар тавассути вайрон кардани ҳисобҳои таҳиягарон, GitHub тасмим гирифт, ки аутентификатсияи ҳатмии ду омилро ҷорӣ кунад. Тағйирот дар семоҳаи аввали соли 2022 эътибор пайдо мекунад ва ба нигоҳдорон ва маъмурони бастаҳои ба рӯйхати маъмултарин дохилшуда дахл хоҳад дошт. Илова бар ин, дар бораи модернизатсияи инфрасохтор гузориш дода мешавад, ки дар он мониторинг ва таҳлили автоматикунонидашудаи версияҳои нави бастаҳо барои ошкор кардани барвақти тағйироти зараровар ҷорӣ карда мешавад.
Дар хотир дорем, ки тибқи тадқиқоте, ки дар соли 2020 гузаронида шудааст, танҳо 9.27% нигоҳдорони бастаҳо барои ҳифзи дастрасӣ аз аутентификатсияи ду-омилро истифода мебаранд ва дар 13.37% ҳолатҳо ҳангоми бақайдгирии ҳисобҳои нав, таҳиягарон кӯшиш карданд, ки паролҳои осебдидаеро, ки дар дарун пайдо шудаанд, дубора истифода баранд. ихроҷи пароли маълум. Ҳангоми баррасии амнияти парол, ба 12% ҳисобҳои NPM (13% бастаҳо) аз ҳисоби истифодаи паролҳои пешгӯинашаванда ва ночиз ба монанди “123456” дастрасӣ пайдо карданд. Дар байни мушкилот 4 ҳисоби корбарӣ аз Топ 20 бастаҳои маъмултарин, 13 ҳисоб бо бастаҳои зиёда аз 50 миллион бор дар як моҳ зеркашидашуда, 40 бо зиёда аз 10 миллион боргирӣ дар як моҳ ва 282 бо зиёда аз 1 миллион боргирӣ дар як моҳ буданд. Бо дарназардошти боркунии модулҳо қад-қади занҷири вобастагӣ, созиши ҳисобҳои беэътимод метавонад то 52% ҳамаи модулҳои NPM таъсир расонад.
Манбаъ: opennet.ru