Лише 9,27% мейнтейнерів npm-пакетів використовують двофакторну автентифікацію для захисту облікових записів. Це дуже мало і команда безпеки npm сподівається, що у 2020 році ситуація зміниться.
Node Package Manager — одна з найпопулярніших систем для керування пакетами JavaScript. До того ж це найбільший репозиторій пакетів для будь-якої мови програмування, він містить понад 350 тисяч проіндексованих бібліотек.
Це одна з причин, чому зловмисники так часто атакують npm і додають шкідливий код у бібліотеки. Репозиторії регулярно зламують для крадіжки облікових даних, криптовалюти, конфіденційної інформації тощо.
Більшість npm-пакетів пов'язані один з одним. Якщо зламати 20 облікових записів найвищого рівня, можна зламати половину всієї екосистеми npm (дослідження на цю тему опублікували у жовтні). Тож 9,27— це дуже малий відсоток, захищати облікові записи мейнтейнерів треба ретельніше.
Видання ZDNet радить npm взяти приклад з Mozilla. Відтепер розробники розширень для Firefox зобов'язані користуватись двофакторною автентифікацією для захисту своїх облікових записів — інакше вони не зможуть оновлювати розширення в майбутньому.
Ще немає коментарів