GitHub nécessitera 2FA pour certains utilisateurs du registre NPM

À la lumière de 2 événements de sécurité récents affectant le populaire registre PC NPM pour les bundles JavaScript, GitHub nécessitera 2FA (authentification à deux facteurs) pour les responsables et les administrateurs des plans populaires sur NPM.

La politique 2FA, destinée à protéger contre les prises de contrôle de compte, sera mise en place en commençant par un cohorte des principaux bundles au tout premier trimestre de 2022, a déclaré GitHub dans un bulletin publié le 15 novembre. GitHub est devenu le gardien du registre du système informatique après avoir acquis NPM en 2020.

GitHub voit périodiquement des événements sur le PC registre où les comptes NPM sont menacés par des étoiles destructrices, puis utilisés pour placer du code nuisible dans des plans populaires auxquels les comptes ont accès.

GitHub a mentionné 2 occurrences nécessitant un renforcement de la sécurité.

Le 26 octobre, GitHub a découvert un problème déclenché par la maintenance de routine d’un service NPM facilement accessible au public. Tout au long de la maintenance de la base de données qui alimente une reproduction publique du NMP, des enregistrements ont été développés qui pourraient exposer les noms des régimes privés.

Cela a brièvement permis aux clients de la reproduction de déterminer potentiellement les noms des packages personnels en raison des enregistrements publiés dans le flux de modifications grand public. Aucune autre information, y compris le matériel des packages privés, n’était accessible à aucun moment.

Les noms de plan au format @owner/bundle pour les plans personnels créés avant le 20 octobre ont été exposés entre le 21 octobre et le 29 octobre, lorsque le travail a commencé sur un correctif et sur la détermination de l’étendue de l’exposition directe. Tous les enregistrements contenant des noms de régimes privés ont été éliminés du service replicate.npmjs.com à cette date. Des modifications ont en fait été apportées pour éviter que le problème ne se reproduise.

Deuxièmement, le 2 novembre, GitHub a reçu un rapport faisant état d’une vulnérabilité qui permettrait à un adversaire de publier de toutes nouvelles variantes de n’importe quel bundle NPM. en utilisant un compte sans autorisation appropriée. La vulnérabilité a été couverte dans les six heures suivant la réception du rapport.