- 27,915
- 46
- 8 Ноя 2022
Обновить код по резервным паролям больше не выйдет.
Взлом одного популярного пакета может затронуть тысячи проектов, поэтому npm вводит новую защиту для учётных записей, от которых зависит работа самых востребованных библиотек реестра. Теперь при смене адреса электронной почты или использовании кода восстановления двухфакторной аутентификации такие аккаунты автоматически переходят в режим только для чтения на 72 часа.
Мера направлена против захвата учётных записей сопровождающих пакеты. В недавних атаках на цепочки поставок злоумышленники получали доступ к аккаунту, меняли привязанную почту, выпускали новый токен и публиковали вредоносные версии пакетов. Временная блокировка опасных действий должна разорвать такую цепочку сразу после чувствительного изменения в профиле.
Во время 72-часового периода пакеты остаются доступными для установки и скачивания. Владельцы аккаунтов также могут просматривать организации, команды, настройки учётной записи и пакетов, но не могут публиковать новые версии, управлять токенами , менять видимость пакетов или состав организаций и команд.
Дополнительный сигнал получает прежний адрес электронной почты. npm отправляет предупреждение именно туда, чтобы настоящий владелец мог заметить подозрительное изменение, если доступ к аккаунту уже перехватили. Полный доступ возвращается автоматически через 72 часа, повторное подтверждение не требуется.
Если режим только для чтения включился неожиданно или во время ограничения нужна помощь, npm советует обратиться в поддержку npm Support. Разработчикам, сопровождающим популярные пакеты, также стоит внимательно отслеживать письма о смене данных аккаунта и аккуратно хранить коды восстановления двухфакторной аутентификации .
Взлом одного популярного пакета может затронуть тысячи проектов, поэтому npm вводит новую защиту для учётных записей, от которых зависит работа самых востребованных библиотек реестра. Теперь при смене адреса электронной почты или использовании кода восстановления двухфакторной аутентификации такие аккаунты автоматически переходят в режим только для чтения на 72 часа.
Мера направлена против захвата учётных записей сопровождающих пакеты. В недавних атаках на цепочки поставок злоумышленники получали доступ к аккаунту, меняли привязанную почту, выпускали новый токен и публиковали вредоносные версии пакетов. Временная блокировка опасных действий должна разорвать такую цепочку сразу после чувствительного изменения в профиле.
Во время 72-часового периода пакеты остаются доступными для установки и скачивания. Владельцы аккаунтов также могут просматривать организации, команды, настройки учётной записи и пакетов, но не могут публиковать новые версии, управлять токенами , менять видимость пакетов или состав организаций и команд.
Дополнительный сигнал получает прежний адрес электронной почты. npm отправляет предупреждение именно туда, чтобы настоящий владелец мог заметить подозрительное изменение, если доступ к аккаунту уже перехватили. Полный доступ возвращается автоматически через 72 часа, повторное подтверждение не требуется.
Если режим только для чтения включился неожиданно или во время ограничения нужна помощь, npm советует обратиться в поддержку npm Support. Разработчикам, сопровождающим популярные пакеты, также стоит внимательно отслеживать письма о смене данных аккаунта и аккуратно хранить коды восстановления двухфакторной аутентификации .
- Источник новости
- www.securitylab.ru
