У репозиторії NPM включено застосування обов'язкової двофакторної аутентифікації для облікових записів, що супроводжують 500 найпопулярніших NPM-пакетів. Як критерій популярності використано кількість залежних пакетів. Супровідні пакети, що потрапили до списку, зможуть виконати пов'язані з внесенням змін операції з репозиторієм тільки після включення двофакторної аутентифікації, що вимагає підтвердження входу за допомогою одноразових паролів (TOTP), що генеруються такими додатками, як Authy, Google Authenticator і FreeOTP, або апаратних що підтримують протокол WebAuth.
Це третій етап посилення захисту NPM від компрометації облікових записів. На першому етапі було виконано переведення всіх облікових записів NPM, для яких не включено двофакторну автентифікацію, на використання розширеної верифікації облікових записів, яка вимагає введення одноразового коду, що надсилається на email при спробі входу на сайт npmjs.com або виконання аутентифікованої операції в утиліті np. На другому етапі обов'язкова двофакторна автентифікація була включена для 100 найпопулярніших пакетів.
Нагадаємо, що відповідно до проведеного в 2020 році дослідження, лише 9.27% мейнтенерів пакетів використовували для захисту доступу двофакторну автентифікацію, а в 13.37% випадків при реєстрації нових облікових записів розробники намагалися повторно використовувати скомпрометовані паролі, що фігурують у відомих утеках. Під час перевірки надійності використовуваних паролів вдалося отримати доступ до 12% акаунтів у NPM (13% пакетів) через використання передбачуваних та тривіальних паролів, таких як «123456». Серед проблемних виявилися 4 облікові записи користувачів з Top20 найпопулярніших пакетів, 13 облікових записів, пакети яких завантажували понад 50 млн разів на місяць, 40 — понад 10 млн завантажень на місяць та 282 з понад 1 млн завантажень на місяць. З урахуванням завантаження модулів по ланцюжку залежностей, компрометація ненадійних облікових записів могла вразити до 52% від усіх модулів в NPM.
Джерело: opennet.ru