GitHub NPM paketi ombori infratuzilmasida ikkita hodisani oshkor qildi. 2-noyabr kuni uchinchi tomon xavfsizlik tadqiqotchilari (Kajetan Grzybowski va Maciej Piechota) xatoliklarni mukofotlash dasturi orqali NPM omboridagi zaiflik haqida xabar berishdi. Ushbu zaiflik kimgadir har qanday paketning yangi versiyasini bunday yangilanishlarni amalga oshirishga ruxsat berilmagan hisob qaydnomasidan foydalangan holda nashr etish imkonini beradi.
Zaiflik NPM so‘rovlarini ko‘rib chiquvchi mikroservislar kodida ruxsatni noto‘g‘ri tekshirish natijasida yuzaga kelgan. Avtorizatsiya xizmati soʻrovda yuborilgan maʼlumotlar asosida paketga kirish huquqlarini tekshirdi, ammo yangilanishni omborga yuklaydigan boshqa xizmat yuklangan paketdagi metamaʼlumotlar asosida qaysi paketni nashr etishni aniqladi. Shunday qilib, tajovuzkor o'zi kirish huquqiga ega bo'lgan o'z paketi uchun yangilanishni so'rashi mumkin, ammo paketning o'zida yangilanadigan boshqa paket haqidagi ma'lumotlarni ko'rsatishi mumkin.
Muammo zaiflik haqida xabar berilgandan keyin olti soat o'tgach tuzatildi, biroq u NPMda telemetriya jurnallarini qamrab olganidan ko'ra uzoqroq davom etdi. GitHub ta'kidlashicha, 2020 yil sentyabr oyidan beri ushbu zaiflikdan foydalangan holda hujumlar izlari aniqlanmagan, ammo bu muammodan oldin foydalanilmaganiga kafolat yo'q.
Ikkinchi hodisa 26-oktabr kuni sodir bo'ldi. replica.npmjs.com ma'lumotlar bazasini texnik xizmat ko'rsatish paytida tashqi kirish mumkin bo'lgan ma'lumotlar bazasida maxfiy ma'lumotlar aniqlandi, bu o'zgarishlar jurnalida ko'rsatilgan ichki paketlarning nomlari haqidagi ma'lumotlarni oshkor qildi. Bunday nomlar haqidagi ma'lumotlardan ichki loyihalardagi bog'liqliklarga hujum qilish uchun foydalanish mumkin (fevral oyida shunga o'xshash hujum kodni bajarishga imkon berdi) serverlar PayPal, Microsoft, Apple, Netflix, Uber va boshqa 30 ta kompaniya).
Bundan tashqari, yirik loyihalar omborlari soni ortib borayotgani va ishlab chiquvchilarning hisoblarini buzish orqali zararli kodlar tarqatilishi sababli, GitHub majburiy ikki faktorli autentifikatsiyani joriy etishga qaror qildi. Ushbu o'zgarish 2022 yilning birinchi choragida kuchga kiradi va eng ommabop paketlar ro'yxatiga kiritilgan paketlarning xizmat ko'rsatuvchilari va ma'murlariga taalluqlidir. Bundan tashqari, zararli o'zgarishlarni erta aniqlash uchun yangi paket versiyalarining avtomatlashtirilgan monitoringi va tahlilini o'z ichiga olgan infratuzilmani yangilash e'lon qilindi.
Eslatib o‘tamiz, 2020 yilgi tadqiqotga ko‘ra, paket ta’minotchilarining atigi 9.27 foizi kirishni himoya qilish uchun ikki faktorli autentifikatsiyadan foydalanadi va 13.37 foiz hollarda ishlab chiquvchilar yangi hisob qaydnomalarini ro‘yxatdan o‘tkazishda ma’lum parollar sizib chiqqan parollardan qayta foydalanishga harakat qilishgan. Parol mustahkamligi auditi shuni ko'rsatdiki, NPM hisoblarining 12 foizi (paketlarning 13 foizi) "123456" kabi bashorat qilinadigan va ahamiyatsiz parollardan foydalanish tufayli buzilgan. Ta'sir qilingan akkauntlar orasida eng ommabop 20 ta to'plamdan to'rtta foydalanuvchi hisobi, oyiga 50 million martadan ko'proq yuklab olingan paketlarga ega 13 ta akkaunt, oyiga 10 milliondan ortiq yuklab olingan 40 ta va oyiga 1 milliondan ortiq yuklab olingan 282 ta akkaunt bor. Bog'liqlik zanjiri orqali modul yuklanishini hisobga olsak, ishonchsiz hisob ma'lumotlarining buzilishi NPMdagi barcha modullarning 52% gacha ta'sir qilishi mumkin edi.
Manba: opennet.ru
