GitHub thay đổi cơ chế bảo mật trên npm ngăn chặn các cuộc tấn công chuỗi cung ứng
- Evelyn Carter
- 3 ngày trước
- 3 phút đọc
Việc tải xuống và cài đặt các thành phần phụ thuộc là một phần công việc quen thuộc của các lập trình viên. Tuy nhiên, quy trình này lại chứa đựng những lỗ hổng nguy hiểm mà kẻ xấu có thể lợi dụng. Nhằm giải quyết triệt để vấn đề này, GitHub đã thông báo về những thay đổi lớn tập trung vào bảo mật trên phiên bản npm v12 dự kiến ra mắt vào tháng tới.
Lệnh npm install đang bị tin tặc lợi dụng như thế nào?
Lập trình viên thường sử dụng lệnh npm install để tải và cài đặt các thành phần phụ thuộc của dự án sau khi sao chép mã nguồn, cập nhật hệ thống hoặc trong quá trình xây dựng tự động (CI/CD). Kẻ tấn công đặc biệt nhắm vào lệnh này vì nó có khả năng kích hoạt việc tự động thực thi mã nguồn trong quá trình cài đặt gói dữ liệu. Điều này mở ra cơ hội cho các tập lệnh độc hại chạy tự động trên hệ thống của người dùng mà không cần sự cho phép rõ ràng.
Những thay đổi bảo mật cốt lõi trong phiên bản npm v12 là gì?
Thay vì mặc định tin tưởng như trước đây, npm v12 sẽ yêu cầu sự phê duyệt rõ ràng từ người dùng đối với việc thực thi mã và tải các thành phần phụ thuộc từ nguồn ngoài hệ thống đăng ký (registry).
Chặn tự động chạy tập lệnh cài đặt: hệ thống sẽ không tự động chạy các tập lệnh preinstall, install, hoặc postinstall từ các gói phụ thuộc trừ khi có sự cho phép cụ thể. Ngừng tự động tải từ kho lưu trữ Git: lệnh cài đặt sẽ không tự động lấy các thành phần phụ thuộc trực tiếp hoặc gián tiếp từ kho lưu trữ Git nếu chưa được cho phép.
Hạn chế xử lý đường dẫn URL từ xa: các thành phần phụ thuộc được cài đặt từ các URL từ xa sẽ không được xử lý trừ khi có sự phê duyệt rõ ràng từ người dùng.
Cải tiến mới này giúp ngăn chặn những mối đe dọa nào?
Cấu hình mặc định mới này sẽ vô hiệu hóa nhiều kỹ thuật tấn công từng được ghi nhận trong các chiến dịch độc hại gần đây, bao gồm các đợt phát tán tập lệnh độc hại nhắm vào eslint-config-prettier, gói Picasso của Toptal, hàng loạt gói npm đánh cắp dữ liệu, cũng như các hành vi lạm dụng phụ thuộc Git trong các cuộc tấn công Shai-Hulud.
Các lập trình viên cần làm gì để chuẩn bị cho bản cập nhật này?
GitHub khuyến nghị các lập trình viên nên chuẩn bị bằng cách cập nhật lên phiên bản npm 11.16.0 hoặc mới hơn. Phiên bản này sẽ hiển thị các cảnh báo đối với mọi hành động có nguy cơ bị lỗi hoặc dừng hoạt động trên phiên bản 12, giúp bạn dễ dàng rà soát lại hệ thống của mình.
Giải pháp bảo mật từ IPSIP Vietnam
Sự thay đổi cơ chế bảo mật của npm v12 là một bước đi quan trọng bảo vệ môi trường phát triển phần mềm, đòi hỏi các doanh nghiệp phải nâng cao năng lực kiểm soát an toàn thông tin trong quy trình nội bộ.
Để giúp doanh nghiệp chủ động phòng ngừa các nguy cơ tấn công chuỗi cung ứng và lỗ hổng từ mã nguồn mở, IPSIP Vietnam cung cấp các giải pháp giám sát an ninh mạng và đánh giá an toàn hệ thống toàn diện.
Hệ thống quản trị và giám sát của IPSIP Việt Nam đã xuất sắc vượt qua các kiểm định khắt khe nhất để đạt chứng nhận tiêu chuẩn an toàn thông tin quốc tế ISO 27001:2022 và SOC 2 Type II. Bằng việc cung cấp các dịch vụ cốt lõi hoạt động không ngừng nghỉ 24/7 như Trung tâm Giám sát An ninh mạng (SOC), Trung tâm Điều hành Mạng lưới (NOC) và đội ngũ IT Support/Helpdesk trực chiến, IPSIP cam kết trực tiếp phản ứng, đánh chặn mọi nỗ lực xâm nhập bất kể ngày đêm. Sự đồng hành của những bộ óc kỹ thuật hàng đầu sẽ giúp doanh nghiệp tháo gỡ hoàn toàn rủi ro pháp lý và giải phóng nguồn lực cho các mục tiêu tăng trưởng.
Nguồn tham khảo
Bình luận