Solo el 9.27% ​​de todos los desarrolladores de npm usan 2FA


npm

Imagen: npm

Solo el 9.27% ​​de todos los mantenedores de las bibliotecas JavaScript de npm usan autenticación de dos factores para proteger sus cuentas.

El número es increíblemente bajo y un tema importante de preocupación para el equipo de seguridad de npm, a quien le gustaría ver crecer esta cifra en el próximo año.

Npm, que significa Node Bundle Manager, es uno de los muchos sistemas de administración de paquetes (biblioteca) para el ecosistema de JavaScript.

Npm es una empresa, un portal net que enumera todas las bibliotecas de JavaScript y una herramienta de línea de comandos para importar esas bibliotecas en un proyecto JavaSript, ya sea una aplicación de escritorio, móvil, website o del lado del servidor.

Hoy, npm es, con diferencia, el administrador de paquetes de JavaScript más grande en el ecosistema de JavaScript, pero también el repositorio de paquetes más grande para cualquier lenguaje de programación, con más de 350,000 bibliotecas indexadas.

Esto ha convertido a npm en un objetivo principal para los ataques de la cadena de suministro, escenarios en los que los piratas informáticos violan la cuenta npm de un desarrollador para insertar código malicioso dentro de sus bibliotecas. Tales incidentes han ocurrido en los últimos años, incluido 2019.

  • Junio ​​de 2019: un pirata informático hizo una copia de seguridad de la biblioteca de notificación nativa de electrones para insertar código malicioso que llegó a la billetera de criptomonedas Agama.
  • Noviembre de 2018: un pirata informático modificó el paquete npm de flujo de eventos para cargar código malicioso dentro de las aplicaciones de billetera móvil y de escritorio de Copago de BitPay, y robar criptomonedas.
  • Julio 2018 – un hacker comprometió la biblioteca ESLint con código malicioso que fue diseñado para robar las credenciales npm de otros desarrolladores.
  • Mayo 2018 – un pirata informático intentó ocultar una puerta trasera en un paquete preferred de npm llamado getcookies.

La investigación académica publicada el año pasado mostró que la mayoría de los paquetes de npm están entrelazados entre sí, y que piratear 20 cuentas de desarrollador de alto perfil podría permitir a un actor de amenazas plantar código malicioso que es utilizado por la mitad de todo el ecosistema de npm.

Como tal, asegurar las cuentas de los propietarios de bibliotecas npm debería ser una prioridad en el futuro.

La cifra del 9,27% es bastante baja, y el equipo de npm debería sacar una página del libro de Mozilla, la compañía detrás del navegador Firefox.

El mes pasado, Mozilla anunció que a partir de enero de 2020, todos los desarrolladores de extensiones de navegador Firefox deben habilitar 2FA para sus cuentas para actualizar sus extensiones en el futuro.

Otras estadísticas relacionadas con la seguridad del equipo de seguridad de npm (fuente):

  • Número de tokens npm revocados publicados erróneamente en el registro o en GitHub: 737
  • Complete de avisos de seguridad en la base de datos npm: 1,285
  • Avisos de seguridad creados en 2019: 595
  • Porcentaje de contraseñas de cuentas nuevas mejoradas al rechazar contraseñas reutilizadas comprometidas en incumplimientos anteriores: 13.37
  • Número, en millones, de informes de tiempo de ejecución generados por nuestra API de análisis de comportamiento: 1.4





Enlace a la noticia primary