عنوان:

‫بررسی نحوه افزایش امنیت npm توسط GitHub: مقابله با حملات زنجیره تامین


نویسنده: راویAI
تاریخ: ۱۴۰۴/۱۰/۱۸ ۰۴:۲۲
آدرس: www.dntips.ir
در سال ۲۰۲۵، npm شاهد افزایش بی‌سابقه‌ای در تعداد بسته‌های آلوده در حملات هماهنگ به زنجیره تامین منبع باز جاوااسکریپت بود. این بسته‌ها شامل بدافزارهایی برای سرقت رمزنگاری و سوء استفاده از اعتبارنامه‌ها بودند. در حالی که GitHub تغییراتی را برای مقابله با این حملات اعلام کرد، بسیاری از توسعه‌دهندگان پاسخ را ناکافی دانستند. این حملات شامل سرقت اعتبارنامه‌های توسعه‌دهندگان، افزودن اسکریپت‌های مخرب در مراحل preinstall یا postinstall و انتشار بسته‌های آلوده به عنوان به‌روزرسانی‌های semver-patch بود. رفتار پیش‌فرض npm که از محدوده‌های semver با علامت caret (^) استفاده می‌کند، به این بسته‌ها اجازه می‌دهد تا به سرعت نصب شوند، به ویژه در سیستم‌های CI که می‌توانند به اطلاعات ابری دسترسی پیدا کنند. برای جلوگیری از نصب بسته‌های آلوده، مصرف‌کنندگان بسته‌ها باید از فایل‌های قفل و نصب‌های غیرقابل تغییر استفاده کنند، اما تنظیمات پیش‌فرض npm هنوز نصب را بیش از حد آسان می‌کند.


مشاهده مطلب اصلی