Xakep #305. Многошаговые SQL-инъекции
Команда безопасности npm рассказывает, что только 9,27% разработчиков JavaScript-библиотек используют двухфакторную аутентификацию для защиты своих учетных записей. Представители npm признают, что это проблема и выражают надежду, что это значение вырастет в 2020 году.
На сегодняшний день npm является крупнейшим менеджером пакетов JavaScript в этой экосистеме, а также самым большим репозиторием пакетов среди всех языков программирования, начитывая более 350 000 проиндексированных библиотек. В этом свете вовсе неудивительно, что npm нередко становится целью для так называемых «атак на цепочку поставок», когда хакеры взламывают учетную запись npm-разработчика, чтобы вставить вредоносный код в его библиотеки. Только в 2019 году произошло несколько таких инцидентов.
Хуже того, согласно проведенному в прошлом году исследованию, большинство пакетов npm тесно связаны друг с другом, из-за чего взлом всего 20 аккаунтов разработчиков может привести к тому, что вредоносный код распространится на половину всей экосистемы npm.
Также команда безопасности npm озвучила и другие интересные цифры, например:
- количество отозванных токенов npm, ошибочно опубликованных в реестре или на GitHub составило 737 штук;
- процент новых паролей учетных записей составил 13,37% и был улучшен за счет отказа от повторно использованных паролей, скомпрометированных в ходе предыдущих утечек данных.