Llegamos a ustedes gracias a:



Noticias

GitHub exigirá 2FA a algunos usuarios del registro NPM

[25/11/2021] A la luz de dos recientes incidentes de seguridad que afectaron al popular registro NPM para paquetes JavaScript, GitHub requerirá 2FA (autenticación de dos factores) para los mantenedores y administradores de paquetes populares en NPM.

La política de 2FA, destinada a proteger contra la toma de posesión de cuentas, se pondrá en marcha a partir de una cohorte de los principales paquetes en el primer trimestre del 2022, señaló GitHub en un boletín publicado el 15 de noviembre. GitHub se convirtió en administrador del registro tras adquirir NPM en el 2020.

GitHub ve periódicamente incidentes en el registro donde las cuentas de NPM son comprometidas por actores maliciosos, y luego se utilizan para insertar código malicioso en paquetes populares donde las cuentas tienen acceso. GitHub ha citado dos incidentes que han motivado el refuerzo de la seguridad:

  • El 26 de octubre, GitHub descubrió un problema causado por el mantenimiento rutinario de un servicio NPM disponible al público. Durante el mantenimiento de la base de datos que alimenta una réplica pública de NPM, se crearon registros que podían exponer los nombres de paquetes privados. Esto permitió brevemente a los consumidores de la réplica identificar potencialmente los nombres de los paquetes privados debido a los registros publicados en el feed de cambios públicos. Ninguna otra información, incluyendo el contenido de los paquetes privados, fue accesible en ningún momento. Los nombres de paquetes con el formato @power/package de los paquetes privados creados antes del 20 de octubre estuvieron expuestos durante un tiempo entre el 21 y el 29 de octubre, cuando se empezó a trabajar en una solución y en la determinación del alcance de la exposición. Todos los registros que contenían nombres de paquetes privados se eliminaron del servicio replicate.npmjs.com en esa fecha. Se han realizado cambios para evitar que el problema se repita.
  • El 2 de noviembre, GitHub recibió un informe de una vulnerabilidad que permitiría a un atacante publicar nuevas versiones de cualquier paquete NPM utilizando una cuenta sin la autorización adecuada. La vulnerabilidad fue parcheada seis horas después de recibir el informe.