GitHub برای برخی از کاربران رجیستری NPM به ۲FA نیاز دارد

در پاسخ به دو حادثه امنیتی اخیر، اجبار برای نگهبانان و سرپرستان بسته های برتر در رجیستری جاوا اسکریپت اعمال می شود.

با توجه به دو حادثه امنیتی اخیر که بر رجیستری محبوب NPM برای بسته‌های جاوا اسکریپت تأثیر می‌گذارد، GitHub به ۲FA (تأیید هویت دو مرحله‌ای) برای نگهبانان و سرپرستان بسته‌های محبوب در NPM نیاز دارد.

خط‌مشی ۲FA، با هدف محافظت در برابر تصاحب حساب‌ها، با مجموعه‌ای از بسته‌های برتر در سه ماهه اول سال ۲۰۲۲ اجرا می‌شود، GitHub در بولتن منتشر شده در ۱۵ نوامبر گفت. GitHub پس از خرید NPM در سال ۲۰۲۰، سرپرست رجیستری شد. /a>.

GitHub به صورت دوره‌ای حوادثی را در رجیستری مشاهده می‌کند که در آن حساب‌های NPM توسط عوامل مخرب در معرض خطر قرار می‌گیرند و سپس برای درج کدهای مخرب در بسته‌های محبوبی که حساب‌ها دسترسی دارند، استفاده می‌شود. GitHub به دو مورد اشاره کرد که باعث امنیت شدیدتر شده است:

• در ۲۶ اکتبر، GitHub مشکلی را پیدا کرد که ناشی از نگهداری معمول یک سرویس NPM در دسترس عموم بود. در طول نگهداری در پایگاه داده ای که یک کپی NPM عمومی را تامین می کند، رکوردهایی ایجاد شد که می توانست نام بسته های خصوصی را در معرض دید قرار دهد. این به طور خلاصه به مصرف کنندگان ماکت اجازه می دهد تا به طور بالقوه نام بسته های خصوصی را به دلیل سوابق منتشر شده در فید تغییرات عمومی شناسایی کنند. هیچ اطلاعات دیگری، از جمله محتوای بسته های خصوصی، در هیچ زمانی قابل دسترسی نبود. نام بسته‌ها در قالب @owner/package برای بسته‌های خصوصی ایجاد شده قبل از ۲۰ اکتبر، برای مدتی بین ۲۱ اکتبر و ۲۹ اکتبر، زمانی که کار بر روی رفع مشکل و تعیین محدوده قرار گرفتن در معرض شروع شد، افشا شد. . تمام رکوردهای حاوی نام بسته های خصوصی در این تاریخ از سرویس replicate.npmjs.com حذف شدند. تغییراتی برای جلوگیری از تکرار مشکل ایجاد شده است.
• در ۲ نوامبر، GitHub گزارشی از یک آسیب‌پذیری دریافت کرد که به مهاجم اجازه می‌دهد نسخه‌های جدید هر بسته NPM را با استفاده از یک حساب کاربری بدون مجوز مناسب منتشر کند. این آسیب‌پذیری ظرف شش ساعت پس از دریافت گزارش اصلاح شد.