GitHub će uvesti lokalno objavljivanje sa obaveznom dvofaktorskom autentifikacijom (2FA), granularne tokene koji ističu nakon sedam dana i funkcionalnost trusted publishing.
U protekla tri mjeseca dogodilo se više ozbiljnih incidenata, a posljednji je uključivao Shai-Hulud crv koji se automatski umnožava, a koji je prošle nedjelje kompromitovao desetine naloga održavalaca. Napadači su ugrozili 195 paketa i na registar ubacili preko 500 malicioznih verzija.
Sedmicu ranije, 18 NPM paketa koje održava Josh Junon bilo je zaraženo malverom nakon što je žrtva postala phishing kampanje koja se lažno predstavljala kao NPM podrška. Ti paketi imaju više od 2,5 milijardi preuzimanja sedmično.
U julu su napadači korišćenjem typosquatting tehnike, predstavljajući se kao Node.js registar paketa, kompromitovali više biblioteka sa ukupno preko 30 miliona sedmičnih preuzimanja.
Prema navodima GitHub-a, Shai-Hulud napad izazvao je brzu reakciju platforme i zajednice, što je rezultiralo uklanjanjem malicioznih paketa i blokiranjem novih pokušaja ubacivanja malvera, čime je spriječena dalja eskalacija infekcija.
“Kombinovanjem samoreplikacije sa mogućnošću krađe različitih tipova kredencijala (ne samo NPM tokena), ovaj crv je mogao omogućiti beskonačan niz napada, da GitHub i open source održavaoci nisu reagovali na vrijeme”, navodi kompanija.
Kako bi se spriječila zloupotreba tokena i širenje samoreplicirajućeg malvera, GitHub, u vlasništvu Microsofta, ubuduće će dozvoliti samo lokalno objavljivanje sa 2FA zaštitom. Uvode se i granularni tokeni sa rokom isteka od sedam dana, kao i trusted publishing.
Ova preporučena bezbjednosna funkcionalnost eliminiše potrebu za upravljanjem tokenima dugog trajanja, oslanjajući se na kratkotrajne i strogo ograničene API tokene, čime se garantuje da paket dolazi sa verifikovanog izvornog sistema.
“Kada je NPM objavio podršku za trusted publishing, naša namjera je bila da pustimo da se ova funkcionalnost usvaja postepeno. Međutim, napadači nisu čekali. Snažno podstičemo projekte da što prije pređu na trusted publishing, za sve podržane package managere”, poručio je GitHub.
Pored toga, platforma će ukinuti klasične tokene i TOTP 2FA, skratiti trajanje granularnih tokena sa publishing dozvolama, onemogućiti objavljivanje pomoću tokena po defaultu, spriječiti zaobilaženje 2FA pri lokalnom objavljivanju i proširiti listu podržanih provajdera za trusted publishing.
“Svjesni smo da će određene izmjene zahtijevati prilagođavanje vaših radnih procesa. Promjene ćemo uvoditi postepeno, kako bismo smanjili rizik od prekida rada i istovremeno ojačali bezbjednosni nivo NPM-a”, naveli su iz kompanije.
GitHub ohrabruje održavaoce da što prije pređu na trusted publishing, omoguće obaveznu 2FA zaštitu pri objavljivanju i koriste WebAuthn umjesto TOTP opcije za dvofaktorsku autentifikaciju.
Izvor: SecurityWeek
