Из-за участившихся атак на цепочку поставок и взломов администраторы Node Package Manager (npm) приняли решение обязать владельцев ста наиболее популярных (по количеству зависимостей) библиотек использовать двухфакторную аутентификацию. Новое требование безопасности вступило в силу 1 февраля 2022 года.
«Для тех мейнтейнеров, которые в настоящее время не включили 2ФА, будут аннулированы веб-сессии, и им понадобится активировать 2ФА, прежде чем они смогут производить какие-либо действия в своих учетных записях, включая изменение адреса электронной почты или добавление новых мейнтейнеров в проекты», — сообщает в блоге команда безопасности GitHub.
На такие меры разработчики npm были вынуждены пойти из-за участившихся проблем с безопасностью. Дело в том, что вредоносные библиотеки нередко появляются из-за того, что учетные записи их разработчиков взламывают: те используют слишком простые пароли, или одни и те же пароли на разных сайтах, которые утекают в сеть после взломов сторонних компаний, сайтов и сервисов.
Стоит отметить, что по информации платформы WhiteSource Diffend, только за последние полгода в npm было выявлено более 1300 вредоносных пакетов, занимавшихся кражей учетных данных, криптовалюты и так далее.
В GitHub подчеркивают, что со временем двухфакторная аутентификация станет обязательной для всех пользователей. Процесс, начатый на этой неделе с владельцев 100 самых популярных npm-пакетов, вскоре продолжится и распространится на владельцев топ-500 библиотек. Также в будущем для учетных записей появится поддержка WebAuthn.
