یک بسته محبوب npm با بیش از 3.5 میلیون بارگیری هفتگی در برابر حمله تصاحب حساب آسیب پذیر است.
شرکت امنیت زنجیره تامین نرمافزار Illustria در گزارشی اعلام کرد: «این بسته را میتوان با بازیابی نام دامنه منقضی شده برای یکی از نگهدارندههای آن و بازنشانی رمز عبور در اختیار گرفت».
در حالی که حفاظتهای امنیتی npm کاربران را به داشتن تنها یک آدرس ایمیل فعال در هر حساب محدود میکند، شرکت اسرائیلی اعلام کرد که توانسته رمز عبور GitHub را با استفاده از دامنه بازیابی شده بازنشانی کند.
به طور خلاصه، این حمله به یک عامل تهدید دسترسی به حساب GitHub مرتبط با بسته را می دهد و به طور موثر امکان انتشار نسخه های تروجانی شده در رجیستری npm را فراهم می کند که می توانند برای انجام حملات زنجیره تامین در مقیاس مورد استفاده قرار گیرند.
این امر با استفاده از یک اکشن GitHub که در مخزن پیکربندی شده است به دست می آید تا زمانی که تغییرات کد جدید اعمال می شود بسته ها به طور خودکار منتشر شود.
بوگدان کورتنوف، یکی از بنیانگذاران و CTO Illustria، گفت: «اگرچه حساب کاربری npm نگهدارنده به درستی با [احراز هویت دو عاملی] پیکربندی شده است، این توکن اتوماسیون آن را دور می زند.
Illustria نام ماژول را فاش نکرد، اما اشاره کرد که با نگهدارنده آن تماس گرفته است، که از آن زمان اقداماتی را برای ایمن سازی حساب انجام داده است.
این اولین باری نیست که حسابهای توسعهدهنده در سالهای اخیر آسیبپذیر هستند. در ماه مه 2022، یک عامل تهدید دامنه منقضی شده ای را که توسط نگهدارنده مرتبط با بسته ctx Python برای به دست گرفتن کنترل حساب کاربری استفاده می شد، ثبت کرد و یک نسخه مخرب را توزیع کرد.
ارسال نظر