Команда безопасности npm рассказывает, что только 9,27%  разработчиков JavaScript-библиотек используют двухфакторную аутентификацию для защиты своих учетных записей. Представители npm признают, что это проблема и выражают надежду, что это значение вырастет в 2020 году.

На сегодняшний день npm является крупнейшим менеджером пакетов JavaScript в этой экосистеме, а также самым большим репозиторием пакетов среди всех языков программирования, начитывая более 350 000 проиндексированных библиотек. В этом свете вовсе неудивительно, что npm нередко становится целью для так называемых «атак на цепочку поставок», когда хакеры взламывают учетную запись npm-разработчика, чтобы вставить вредоносный код в его библиотеки. Только в 2019 году произошло несколько таких инцидентов.

Хуже того, согласно проведенному в прошлом году исследованию, большинство пакетов npm тесно связаны друг с другом, из-за чего взлом всего 20 аккаунтов разработчиков может привести к тому, что вредоносный код распространится на половину всей экосистемы npm.

Также команда безопасности npm озвучила и другие интересные цифры, например:

  • количество отозванных токенов npm, ошибочно опубликованных в реестре или на GitHub составило 737 штук;
  • процент новых паролей учетных записей составил 13,37% и был улучшен за счет отказа от повторно использованных паролей, скомпрометированных в ходе предыдущих утечек данных.

1 комментарий

  1. Аватар

    Asylum

    17.01.2020 at 17:08

    А смысл этой двухфакторной авторизации? Ноль. Ради интереса поставил на тестовый сайт, на WP логин и пароль admin, через сколько сломают. Провисел полгода, пока не надоело.

    Ломают не через подбор пароля к админке, а через уязвимости. Причем даже без особых знаний. Запустил wpscan в Кали и проверяй «улов».

    Правда в WP до сих пор нехорошая подсказка есть, при поборе пароля указывается что неверно, логин или пароль. Самый простой вариант, поставить авторизацию апач, либо изменить путь

Оставить мнение