The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Лишь 9.27% мэйнтейнеров пакетов NPM используют двухфакторную аутентификацию

07.01.2020 09:33

Адам Болдуин (Adam Baldwin), возглавляющий команду, отвечающую за безопасность репозитория NPM, опубликовал статистику, подготовленную по итогам прошлого года:

  • Несмотря на продолжающиеся инциденты с захватом репозиториев NPM, лишь 9.27% мэйнтенеров пакетов используют для защиты доступа двухфакторную аутентификацию;
  • При регистрации 13.37% новых учётных записей пытались повторно использовать скомпрометированные пароли, фигурирующие в известных утечках паролей по данным сервиса haveibeenpwned.com;
  • В прошлом году было отозвано 737 токенов NPM, которые по ошибке были опубликованы в реестре пакетов NPM или в публично доступных репозиториях на GitHub;
  • Предотвращена кража 13 миллионов долларов в криптовалюте, благодаря выявлению попытки интеграции бэкдора в кошелёк Komodo Agama;
  • Общее число отчётов о проблемах с безопасностью в базе NPM достигло 1285, из которых 595 отчётов были подготовлены в 2019 году. Через security@npmjs.com было получено 2.2 тысячи уведомлений о наличии уязвимостей;
  • За год антиспам-системой заблокировано 11526 транзакций, в том числе связанных с попыткой продвижения рекламы торрентов и фильмов;
  • Системой анализа аномального поведения сгенерировано 1.4 млн отчётов, запрошенных через API, охватывающих 15.6 ТБ данных с информацией об анализе поведения.


  1. Главная ссылка к новости (https://blog.npmjs.org/post/19...)
  2. OpenNews: Уязвимость в NPM, позволяющая изменить произвольные файлы при установке пакета
  3. OpenNews: В репозитории NPM выявлен вредоносный пакет bb-builder
  4. OpenNews: В зависимостях к npm-пакету с установщиком PureScript выявлены вредоносные изменения
  5. OpenNews: В популярный NPM-модуль внедрено вредоносное ПО, копирующее параметры аутентификации
  6. OpenNews: Выявлена попытка включения бэкдора в популярный NPM-пакет mailparser
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/52143-npm
Ключевые слова: npm
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (25) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 09:46, 07/01/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Лишь 10% реально озаботились секурностью хоть каплю, остальные 90 просто пришли скинуть свою поделку, как я понимаю. Уровень-с...
     
     
  • 2.5, Аноним (5), 11:22, 07/01/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >остальные 90 просто пришли скинуть свою поделку

    В данном контексте, не скинуть, а отложить

     
     
  • 3.25, SOska (?), 16:22, 08/01/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Да че уж там двух факторная, а мож сразу и пасспорт с отпечатками отдать а?
     

  • 1.2, Аноним (2), 10:08, 07/01/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вот поэтому я и не использую node
     
  • 1.3, Аноним (3), 11:19, 07/01/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А по гитхабу такая статистика есть?
     
     
  • 2.8, Анонимус ликует (?), 12:15, 07/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Гитхаб теперь не пускает, если плохой пароль.
     
  • 2.11, Аноним (11), 13:24, 07/01/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Есть, 100% пользователей гитхаба включили 2FА
     
     
  • 3.23, крокодил (?), 13:10, 08/01/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Я не включал и не собираюсь
     

  • 1.4, Аноним (4), 11:19, 07/01/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    >При регистрации 13.37% новых учётных записей пытались повторно >использовать скомпрометированные пароли,
    >фигурирующие в известных утечках паролей
    >В прошлом году было отозвано 737 токенов NPM,
    >которые по ошибке были опубликованы в реестре
    >пакетов NPM или в публично доступных репозиториях на GitHub;

    Что лишний раз подтверждает уровень интеллекта скриптомак... разработчиков всяких JSов

     
  • 1.7, Аноним (7), 12:10, 07/01/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Нормализация двухфакторки не проходит так гладко, как хотелось бы зондовставляторам? Это хорошо.
     
     
  • 2.10, Анонимышь (?), 13:21, 07/01/2020 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Т.е. иных факторов кроме как телефон ты не знаешь?
    Другой разговор что другие способы знают/делают не только лишь все. Увы.
     

  • 1.9, segesg (?), 12:32, 07/01/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    проблема актуальна для всех современных языков, у которых есть централизованные репозитории модулей
     
     
  • 2.12, Аноним (12), 14:35, 07/01/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Например в репозитории дистрибутивов почему те не какает любая вебмакака, а в репо языка пожалуйста.
     

  • 1.13, user90 (?), 14:37, 07/01/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    > репозитория NPM

    просто. должен быть уничтожен, бугога!

     
  • 1.14, Аноним (14), 15:03, 07/01/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Как страшно жить...
     
  • 1.15, gefest (??), 15:04, 07/01/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Азачем ?? Вот у мну gmail с 2006 года, за это время уже несколько телефонов и номеров сменилось.
    И вообще , возможность сказать   "Sorry, my account was hacked"  она ценная, чтобы от неё просто так отказываться ....
     
     
  • 2.20, Аноним (20), 10:06, 08/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > уже несколько телефонов и номеров сменилось

    2FA != SMS подтверждение

     
     
  • 3.24, gefest (??), 14:02, 08/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Оне бесплатно рассылают аппаратные ключи ?? !
     

  • 1.16, Аноним (16), 15:09, 07/01/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    У меня была двухфакторная аутентификация. Потом настроил CI, чтобы автоматически публиковал пакет в NPM.

    Ну, и как я это сделаю? Если у них так и написано - использовать двухфакторную аутентификацию для публикации из CI нельзя.

     
  • 1.18, Аноним (-), 19:40, 07/01/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    разводняк это ваше 2FA, просто-напросто надо нормальные пароли ставить и придерживаться адекватной OpSec
     
     
  • 2.19, richman1000000 (?), 07:18, 08/01/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Чувак, вот с языка правду сорвал. + тебе.
    2FA действительно является разводом. Я пробовал сделать 2FA в домене, без Microsoft Azure. Типа свой сервер и аппликуху стандартную из GooglePlay поставить пользакам нету нигде.
    Так что 2FA с использованием пушей и временных токенов выгодна только им.
     

  • 1.21, Аноним (21), 11:18, 08/01/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Уровень "адекватности" просто зашкаливает.
     
  • 1.22, Урри (?), 12:39, 08/01/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > При регистрации 13.37% новых учётных записей пытались повторно использовать скомпрометированные пароли, фигурирующие в известных утечках паролей по данным сервиса haveibeenpwned.com;

    Хм. А откуда они знают? Неужели непосредственно сам пароль на сервер отправлялся?

    Хе-хе-хе.

     
  • 1.27, Аноним (-), 20:52, 09/01/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    О май гад!
     
  • 1.28, an (??), 22:23, 18/06/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Скрипт для проверки паролей в базе haveibeenpwned.com
    https://github.com/edyatl/passchek
    Может кому пригодится.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру