GitHub บังคับบัญชีแพ็กเกจ npm ยอดนิยม ล็อกอิน 2FA ป้องกันการแฮ็กแล้วปล่อยมัลแวร์

by mk
18 November 2021 - 02:12

ความนิยมของแพ็กเกจ npm ในโลก JavaScript กลายเป็นช่องโหว่ด้านความปลอดภัยหลายครั้ง เพราะแฮ็กเกอร์สามารถยึดบัญชีนักพัฒนาแพ็กเกจ npm ชื่อดัง แล้วอัพเดตแพ็กเกจที่ฝังมัลแวร์เพื่อแพร่กระจายในวงกว้างอย่างรวดเร็ว (กรณีของ ua-parser-js และ coa)

GitHub ซึ่งปัจจุบันเป็นเจ้าของบริษัท npm Inc. จึงออกมาประกาศมาตรการความปลอดภัยของ npm เพื่อป้องกันปัญหาเหล่านี้ ได้แก่

  • บัญชีเจ้าของแพ็กเกจ npm ยอดนิยม จะถูกบังคับล็อกอินแบบ two-factor authentication (2FA) ในไตรมาสแรกของปี 2022
  • เพิ่มระบบการมอนิเตอร์แพ็กเกจ npm ที่อัพโหลดใหม่ เพื่อตรวจสอบว่ามีมัลแวร์หรือไม่
  • ปิดช่องโหว่ของ npm registry โดย GitHub ระบุว่าเจอช่องโหว่จากการรายงานผ่านช่องทาง bug bounty เมื่อต้นเดือนพฤศจิกายนนี้ และออกแพตช์ปิดช่องโหว่ภายใน 6 ชั่วโมง

ที่มา - GitHub

Blognone Jobs Premium