- GitHub объявил о комплексе новых мер для защиты цепочки поставок от атак, вызванных инцидентами с вредоносным ПО в реестре npm.
- Новые меры включают обязательную двухфакторную аутентификацию (2FA), гранулярные токены с ограниченным сроком действия и переход на более безопасный протокол аутентификации FIDO.
- В ответ на недавние атаки, включая кампанию Shai-Hulud, GitHub удалил более 500 компрометированных пакетов из npm и призывает разработчиков усилить безопасность своих учётных записей.
Платформа GitHub представила ряд обновлённых мер безопасности, направленных на предотвращение атак на цепочку поставок в экосистеме npm. Такой шаг стал ответом на серию серьёзных инцидентов, которые выявили уязвимости в инфраструктуре публикации пакетов и привели к компрометации тысяч учётных записей и репозиториев, а также к утечке конфиденциальных данных.
Одной из наиболее заметных угроз стала широко известная кампания Shai-Hulud, в ходе которой злоумышленники использовали сложные методы проникновения, включая самораспространяющегося червя, заражающего сотни npm-пакетов. По данным GitHub, атаке подверглись несколько десятков пакетов, вызывая масштабное распространение вредоносного ПО. Вредоносное ПО эксплуатировало функцию обновления пакетов NpmModule.updatePackage, которая была внедрена в заражённые библиотеки, что позволило атакующим эффективно распространять свои инструменты.
Для борьбы с подобными угрозами GitHub реализует следующий комплекс мер:
- Введение обязательной двухфакторной аутентификации (2FA) для локальной публикации пакетов;
- Использование гранулярных токенов с максимально коротким сроком действия — 7 дней;
- Расширение системы проверенных издателей, что повысит доверие к автору и содержимому пакетов;
- Отказ от классических токенов и механизма двухфакторной аутентификации через TOTP в пользу более защищённого стандарта FIDO;
- Сокращение доступа и сроков действия токенов публикации с целью уменьшения риска их компрометации;
- Запрет на публикацию с токенами по умолчанию, что позволит строже контролировать право на обновление пакетов;
- Удаление возможности обхода двухфакторной аутентификации для локальных публикаций.
GitHub призывает разработчиков перейти на доверенную публикацию npm вместо использования традиционных токенов и расширить настройки безопасности учётных записей, включая обязательное включение 2FA для всех операций. Дополнительно рекомендуется использовать протокол WebAuthn, базирующийся на FIDO, вместо устаревших методов аутентификации.
Данные меры должны повысить устойчивость экосистемы open source и минимизировать риски снижения доверия к npm как платформе для распространения библиотек. GitHub подчёркивает, что оперативное удаление скомпрометированных пакетов было необходимой мерой, но только профилактические шаги смогут предотвратить повторение подобных инцидентов в будущем.
