بررسیهای جدید تیم وبسایت npm نشان میدهد که تنها ۹.۲۷% توسعهدهندگان کتابخانههای جاوا اسکریپت برای محافظت از حسابهای کاربریشان از احراز هویت دو مرحلهای استفاده میکنند.
Npm، مخفف مدیر بسته نود (Node Package Manager) یکی از سیستمهای مدیریت بستههای برنامهنویسی در محیط جاوا اسکریپت است. Npm یک سرویس وب لیست محسوب میشود که کتابخانههای جاوا اسکریپت و ابزارهای خطر فرمان برای توسعه پروژههای مختلف، در محیط جاوا اسکریپت را ارائه میدهد که میتوانند در محیطهای دسکتاپ، موبایل، وب یا برنامه server-side مورد استفاده قرار گیرند.
در حال حاضر npm بزرگترین سرویس مدیریت بستههای جاوا اسکریپت و حتی بزرگترین مخزن بسته برای بقیه زبانهای برنامهنویسی با بیش از ۳۵۰ هزار کتابخانه فهرست شده است. این امر npm را به یک هدف اصلی برای حملات زنجیره تامین تبدیل کرده است که در آن هکرها به حساب توسعهدهنده npm نفوذ میکنند تا کدهای مخرب را در کتابخانههای آنها قرار دهند. محققان تاکنون شاهد چنین اتفاقاتی در سالهای گذشته بودهاند.
تحقیقات دانشگاهی منتشر شده در سال گذشته نشان دادهاند که اکثر بستههای npm در هم تنیده شدهاند و حسابهای هک شده توسعهدهندگان، به مهاجمان اجازه میدهد تا یک کد مخرب را بهصورتی مخفی در بعضی از کتابخانهها که از سوی نیمی از کل اکوسیستم npm بهصورت معمول مورد استفاده قرار میگیرند، قرار دهند.
به همین ترتیب ، امنسازی حسابهای دارندگان npm کتابخانه باید اولویت اصلی در پیش رو باشد. رقم ۹ درصد بسیار پایین بوده و تیم npm باید مانند شرکت موزیلا اقداماتی برای رهایی از این شرایط انجام دهد.
ماه گذشته، موزیلا اعلام کرد که با شروع ژانویه سال ۲۰۲۰، کلیه توسعهدهندگان افزونههای مرورگر Firefox باید احراز هویت دو مرحلهای را برای حسابهای خود فعال کنند تا قادر به بهروزرسانی افزونههای خود در آینده باشند.
توضیحات بیشتر در:
- Only 9.27% of all npm developers use 2FA