NPM ریپوزٹری میں 500 مقبول ترین NPM پیکجوں کو برقرار رکھنے والے اکاؤنٹس کے لیے لازمی دو عنصر کی تصدیق شامل ہے۔ انحصار شدہ پیکجوں کی تعداد کو مقبولیت کے معیار کے طور پر استعمال کیا گیا تھا۔ درج پیکجز کے مینٹینرز صرف دو عنصر کی تصدیق کو فعال کرنے کے بعد ہی ریپوزٹری پر ترمیم سے متعلق کارروائیاں انجام دے سکیں گے، جس کے لیے Authy، Google Authenticator اور FreeOTP جیسی ایپلی کیشنز کے ذریعے تیار کردہ ون ٹائم پاس ورڈز (TOTP) کے ذریعے لاگ ان کی تصدیق کی ضرورت ہوتی ہے۔ ہارڈویئر کیز اور بائیو میٹرک اسکینرز، WebAuth پروٹوکول کو سپورٹ کرتے ہیں۔
یہ اکاؤنٹ سمجھوتہ کے خلاف NPM کے تحفظ کو مضبوط بنانے کا تیسرا مرحلہ ہے۔ پہلے مرحلے میں ان تمام NPM اکاؤنٹس کو تبدیل کرنا شامل ہے جن میں ایڈوانس اکاؤنٹ کی توثیق کا استعمال کرنے کے لیے ٹو فیکٹر کی توثیق نہیں کی گئی ہے، جس کے لیے npmjs.com میں لاگ ان کرنے یا npm میں تصدیق شدہ آپریشن کرنے کی کوشش کرتے وقت ای میل کے ذریعے بھیجا جانے والا ایک وقتی کوڈ درج کرنا ہوتا ہے۔ افادیت دوسرے مرحلے میں، 100 مقبول ترین پیکجوں کے لیے لازمی دو عنصر کی تصدیق کو فعال کیا گیا تھا۔
یاد رہے کہ 2020 میں کی گئی ایک تحقیق کے مطابق، صرف 9.27 فیصد پیکیج مینٹینرز نے رسائی کے تحفظ کے لیے دو فیکٹر تصدیق کا استعمال کیا، اور 13.37 فیصد کیسز میں، نئے اکاؤنٹس کو رجسٹر کرتے وقت، ڈویلپرز نے سمجھوتہ کیے گئے پاس ورڈز کو دوبارہ استعمال کرنے کی کوشش کی جو کہ معلوم ہوا پاس ورڈ لیک. پاس ورڈ سیکیورٹی کے جائزے کے دوران، 12% NPM اکاؤنٹس (13% پیکجز) تک رسائی حاصل کی گئی جس کی وجہ پیشین گوئی اور معمولی پاس ورڈز جیسے "123456" کے استعمال کی وجہ سے ہے۔ سب سے زیادہ مقبول پیکجز میں سے 4 صارف اکاؤنٹس، 20 ایسے اکاؤنٹس جن کے پیکجز ہر ماہ 13 ملین سے زیادہ بار ڈاؤن لوڈ کیے گئے، 50 اکاؤنٹس جن میں 40 ملین سے زیادہ ڈاؤن لوڈز فی ماہ، اور 10 ایسے اکاؤنٹس تھے جن میں ہر ماہ 282 لاکھ سے زیادہ ڈاؤن لوڈز ہوتے ہیں۔ انحصار کے سلسلے کے ساتھ ماڈیولز کی لوڈنگ کو مدنظر رکھتے ہوئے، غیر بھروسہ مند کھاتوں کا سمجھوتہ NPM میں تمام ماڈیولز کے 1% تک کو متاثر کر سکتا ہے۔
ماخذ: opennet.ru