Команда NPM обязала разработчиков популярных пакетов включить 2FA

Администраторы крупнейшего репозитория пакетов в экосистеме JavaScript Node Package Manager (NPM) обязали разработчиков 100 самых популярных библиотек (по количеству зависимостей) включить процедуру двухфакторной аутентификации (2FA). Новое требование вступило в силу 1 февраля 2022 года.

«У разработчиков пакетов, у которых в настоящее время не включена 2FA, будут отозваны web-сеансы. Необходимо будет настроить 2FA, прежде чем разработчики смогут выполнять определенные действия со своими учетными записями, такие как изменение адреса электронной почты или добавление новых разработчиков в проекты», — сообщила команда безопасности GitHub.

Это вторая серьезная мера команды NPM по защите учетных записей разработчиков. В последние годы аккаунты разработчиков часто подвергались взломам и использовались хакерами для внедрения вредоносных программ в легитимные JavaScript-библиотеки. Во многих случаях учетные записи взламываются, потому что разработчики проекта используют простые для угадывания пароли или повторно используемые пароли, которые ранее утекли в Сеть.

На первом этапе процесса по усилению безопасности команда NPM внедрила новую функцию под названием enhanced login verification («расширенная проверка авторизации») для всех разработчиков пакетов NPM. Новая функция работает путем отправки разработчикам пакетов одноразового пароля по электронной почте, когда они пытаются авторизоваться.

GitHub также планирует добавить поддержку WebAuthn для учетных записей в NPM, чтобы разработчики пакетов могли использовать ключи безопасности для аутентификации на сайте помимо вариантов электронной почты и 2FA.