Microsoft’a ait depo GitHub, Shai-hulud kendi kendini kopyalayan solucan gibi son Düğüm Paket Yöneticisi (NPM) saldırılarına, açık kaynak ekosistemine olan güveni geri kazanmaya çalıştı.
Güvenlik Araştırma Kıdemli Direktörü Xavier René-Corail, paketlerin yayınlanmasını güvence altına almak için NPM için bir yol haritası açtı.
Uygulanan değişiklikler arasında, yerel yayıncılık için iki faktörlü kimlik doğrulama (2FA) ve geliştiricilerin kimlik bilgilerinin hangi paketleri ve kapsamlarını kısıtlamasına izin veren granüler jetonlar bulunmaktadır.
Granüler jetonlar ayrıca belirli kuruluşlarla sınırlandırılabilir, son kullanma tarihlerine sahip olabilir, belirli İnternet protokolü aralıklarıyla sınırlı olabilir ve salt okunur olarak ayarlanabilir veya okuma ve yazma erişimi olabilir.
René-Corail, Uygulama Yapım Boru Hatlarından Uygulama Programlama Arayüzü’nü (API) belirteçlerini kaldırmak için Python Yazılım Vakfı’ndan güvenilir yayınlama kimlik doğrulama yönteminin de tanıtılacağını söyledi.
Bu, kullanıcı altyapısı yayıncılığı için OpenID Connect standardını kullanır ve açık kimlik doğrulama 2.0 üzerine oluşturulur.
NPM koruyucular, şimdi jeton yerine güvenilir yayınlamayı kullanmaya başlayabilir ve ortada düşman saldırıları yoluyla yakalanabilen TOTP meydan okuması ve yanıt kodları yerine Web Kimlik Doğrulaması (WebAuthn) API’sını kullanabilir.
Güvenliği sıkmak için, NPM için eski klasik jetonlar, 2FA için zaman şifrelerine (TOTP) dayalı zamanla birlikte kullanımdan kaldırılacaktır; Bunun yerine, kullanıcılar daha güvenli hızlı kimlik çevrimiçi (FIDO) 2FA’ya taşınacak.
René-Corail, değişikliklerin kademeli olarak piyasaya sürüleceğini, ancak bunların belgeler, göç kılavuzları ve geliştiriciler için destek kanalları ile sağlanacağını söyleyerek belirli bir zaman dilimleri sağlamadığını söyledi.
“Yaptığımız bazı güvenlik değişikliklerinin iş akışınız için güncellemeler gerektirebileceğini biliyoruz.”
NPM ekosistemi, bir süredir tedarik zinciri saldırganları tarafından hedefleniyor ve popüler paketler kötü amaçlı kodlarla tehlikeye atılıyor.
Shai-hulud solucusunun üstünde, bu yıl Eylül, kripto para birimini çalmak amacıyla 2.7 milyar npm JavaScript paketlerine kötü amaçlı kod ekleyen başka bir başarılı saldırı gördü.
Shai-hulud hackine gelince, René-Corail, GitHub ve açık kaynak bakımcılarının zamanında hareket etmediğini söyledi, “Bu solucan sonsuz bir saldırı akışı sağlayabilirdi”.