یک بسته محبوب npm با بیش از 3.5 میلیون بارگیری هفتگی در برابر حمله account takeover آسیب پذیر است.
شرکت امنیت زنجیره تامین نرم افزار Illustria در گزارشی اعلام کرد: «این بسته را می توان با بازیابی نام دامنه منقضی شده برای یکی از مدیران آن و بازنشانی رمز عبور در اختیار گرفت.
در حالی که حفاظت های امنیتی npm کاربران را به داشتن تنها یک آدرس ایمیل فعال در هر حساب محدود می کند، شرکت اسرائیلی اعلام کرد که توانسته رمز عبور GitHub را با استفاده از دامنه بازیابی شده بازنشانی کند.
به طور خلاصه، این حمله به یک عامل تهدید دسترسی به حساب GitHub مرتبط با بسته را می دهد و به طور موثر امکان انتشار نسخه های تروجانی شده در رجیستری npm را فراهم می کند که می توانند برای انجام حملات زنجیره تامین در مقیاس مورد استفاده قرار گیرند.
این امر با استفاده از یک اکشن GitHub که در مخزن پیکربندی شده است به دست می آید تا زمانی که تغییرات کد جدید اعمال می شود، بسته ها به طور خودکار منتشر شوند.
بوگدان کورتنوف، یکی از بنیانگذاران و CTO Illustria، گفت: «اگرچه حساب کاربری npm نگهدارنده به درستی با [احراز هویت دو عاملی] پیکربندی شده است، این توکن اتوماسیون آن را دور می زند.
Illustria نام ماژول را فاش نکرد، اما اشاره کرد که با نگهدارنده آن تماس گرفته است، که از آن زمان اقداماتی را برای ایمن سازی حساب انجام داده است.
این اولین باری نیست که حسابهای توسعهدهنده در سالهای اخیر آسیبپذیر هستند. در ماه مه 2022، یک عامل تهدید دامنه منقضی شده ای را ثبت کرد که توسط نگهدارنده مرتبط با بسته ctx Python برای به دست گرفتن کنترل حساب و توزیع یک نسخه مخرب استفاده می شد.
شرکت امنیت زنجیره تامین نرم افزار Illustria در گزارشی اعلام کرد: «این بسته را می توان با بازیابی نام دامنه منقضی شده برای یکی از مدیران آن و بازنشانی رمز عبور در اختیار گرفت.
در حالی که حفاظت های امنیتی npm کاربران را به داشتن تنها یک آدرس ایمیل فعال در هر حساب محدود می کند، شرکت اسرائیلی اعلام کرد که توانسته رمز عبور GitHub را با استفاده از دامنه بازیابی شده بازنشانی کند.
به طور خلاصه، این حمله به یک عامل تهدید دسترسی به حساب GitHub مرتبط با بسته را می دهد و به طور موثر امکان انتشار نسخه های تروجانی شده در رجیستری npm را فراهم می کند که می توانند برای انجام حملات زنجیره تامین در مقیاس مورد استفاده قرار گیرند.
این امر با استفاده از یک اکشن GitHub که در مخزن پیکربندی شده است به دست می آید تا زمانی که تغییرات کد جدید اعمال می شود، بسته ها به طور خودکار منتشر شوند.
بوگدان کورتنوف، یکی از بنیانگذاران و CTO Illustria، گفت: «اگرچه حساب کاربری npm نگهدارنده به درستی با [احراز هویت دو عاملی] پیکربندی شده است، این توکن اتوماسیون آن را دور می زند.
Illustria نام ماژول را فاش نکرد، اما اشاره کرد که با نگهدارنده آن تماس گرفته است، که از آن زمان اقداماتی را برای ایمن سازی حساب انجام داده است.
این اولین باری نیست که حسابهای توسعهدهنده در سالهای اخیر آسیبپذیر هستند. در ماه مه 2022، یک عامل تهدید دامنه منقضی شده ای را ثبت کرد که توسط نگهدارنده مرتبط با بسته ctx Python برای به دست گرفتن کنترل حساب و توزیع یک نسخه مخرب استفاده می شد.