Saldırganlar sürekli olarak hesapları ele geçirmenin ve kötü amaçlı paketleri NPM kayıt defterine, JavaScript ve Node.js paketleri için (GitHub tarafından işletilen) çevrimiçi depoya itmenin yollarını buluyorlar.
Ancak sadece bu ayda, başarılı bir kimlik avı kampanyasından sonra popüler kod paketlerinin uzlaşmasına ve sonuçta 500’den fazla paketten ödün veren ve birçok sırdan ödün veren solucan benzeri bir yükün kullanılmasını içeren Shai-hulud saldırısına tanık olduk.
Github, Shai-Hulud’un çoğaltmasına bir duraklamayı başardı ve kötü amaçlı yazılımların uzlaşma göstergelerini içeren yeni paketlerin yüklenmesini engellerken, gelecekte benzer saldırıları önlemek için değişiklikler yapmaları gerekeceğini fark ettiler.
Planlanan Güvenlik Geliştirmeleri
Github bir geleceğe doğru çalışıyor:
1. Yerel paket yayıncılığı 2FA gerektirecektir
Github, yerel paket yayıncılığı için 2FA’yı atlama seçeneğini kaldırmayı planlıyor ve zamana dayalı tek seferlik şifre (TOTP) 2FA kullanımdan kaldırılacak. Kullanıcılar FIDO tabanlı 2FA’ya taşınacak.
2. Güvenilir yayıncılık daha geniş bir şekilde kabul edilir ve kullanılır
Güvenilir Yayıncılık, paket depolarının, uzun ömürlü API anahtarları yerine kısa ömürlü OpenId Connect Identity jetonlarını kullanarak kod yayınlamasına izin vermesini sağlayan bir sistemdir. Bu, çalıntı kimlik bilgilerinin kötü niyetli paketleri yaymak için kullanılma şansını azaltır.
Şu anda, NPM güvenilir yayıncılık yalnızca GitHub eylemlerini ve GITLAB boru hatlarını desteklemektedir, ancak Github güvenilir yayıncılık için uygun CI/CD sağlayıcıları listesini genişletmeyi planlamaktadır.
NPMJS.com’a güvenilir bir yayıncı ekleme (Kaynak: NPM Kayıt Defteri)
3. Granüler erişim belirteçlerinin sınırlı bir ömrü olacak
Yayın izinleri olan granüler jetonlar maksimum 7 gün sürecektir. Eski klasik jetonlar kullanımdan kaldırılacak. Yayınlanma erişimi varsayılan olarak belirteçlere izin vermeyecek ve kullanıcıları güvenilir yayıncılara veya 2FA zorla yerel yayıncılığa itecektir.
Kademeli bir sunum
Github’un güvenlik araştırması müdürü Xavier René-Corail, “Yaptığımız bazı güvenlik değişikliklerinin iş akışlarınızda güncellemeler gerektirebileceğini biliyoruz. NPM’nin güvenlik duruşunu güçlendirirken bozulmayı en aza indirmemizi sağlamak için bu değişiklikleri yavaş yavaş ortaya koyacağız” dedi.
“Bu geçiş boyunca sizi desteklemeye kararlıyız ve net zaman çizelgeleri, belgeler, geçiş kılavuzları ve destek kanalları ile gelecekteki güncellemeler sağlayacağız.”
Bu arada, NPM koruyucular iki faktörlü kimlik doğrulama için WebAuthn’a geçmeye teşvik edilmiştir; Jeton yerine NPM güvenilir yayıncılık kullanmaya başlayın; ve paket yayınlama ve ayarlar değişikliği için 2FA kullanımını uygulamak.
En son ihlalleri, güvenlik açıklarını ve siber güvenlik tehditlerini asla kaçırmak için Breaking News e-posta uyarımıza abone olun. BURADA Abone Olun!