🛡 CIBERSEGURIDAD 🛡

npm añade controles de instalación de paquetes y publicación con 2FA para protegerse contra ataques a la cadena de suministro.

🛡CyberObservatorio
npm añade controles de instalación de paquetes y publicación con 2FA para protegerse contra ataques a la cadena de suministro.
Idioma

npm añade controles de instalación de paquetes y publicación con 2FA para protegerse contra ataques a la cadena de suministro.

Fuente: The Hacker News

GitHub ha implementado recientemente nuevos controles para npm con el objetivo de reforzar la seguridad de la cadena de suministro de software. Esta medida es especialmente relevante en un contexto donde las vulnerabilidades en las dependencias de software pueden tener un impacto devastador en la seguridad de las aplicaciones y, por ende, de los usuarios finales. La nueva funcionalidad permite a los responsables de mantenimiento de paquetes aprobar explícitamente una nueva versión antes de que esta esté disponible públicamente para su instalación, lo que añade una capa crítica de supervisión y control en el proceso de publicación.

La funcionalidad, conocida como "publicación escalonada", ya está disponible de forma general para todos los usuarios de npm. Este nuevo sistema no solo se centra en la simple aprobación de versiones, sino que también introduce un requisito de autenticación en dos factores (2FA). Esto implica que un mantenedor debe superar un desafío de 2FA para dar su visto bueno a la publicación de un paquete. Este mecanismo busca mitigar el riesgo de que versiones maliciosas sean publicadas inadvertidamente, lo cual es un problema creciente en la comunidad de desarrolladores que confían en el ecosistema de npm.

Desde un punto de vista técnico, la publicación escalonada se implementa mediante la integración de un flujo de trabajo más riguroso para la gestión de versiones. Los mantenedores ahora deben estar más involucrados en el proceso de publicación, lo que debería reducir la probabilidad de errores humanos y de ataques maliciosos. Esta medida se vuelve especialmente relevante en un contexto donde el malware puede infiltrarse en las aplicaciones a través de bibliotecas de terceros, comprometiendo no solo la seguridad del software afectado, sino también la de las plataformas sobre las que se ejecuta.

Los datos muestran que más del 70% de las aplicaciones modernas dependen de bibliotecas de código abierto, y la inyección de código malicioso en estas bibliotecas se ha convertido en un vector de ataque común. Un informe de seguridad reciente destacó que las vulnerabilidades en bibliotecas de terceros fueron responsables de aproximadamente el 40% de las brechas de seguridad en el último año. Con la implementación de la publicación escalonada, GitHub espera reducir significativamente este riesgo al proporcionar a los mantenedores más control sobre el ciclo de vida de sus paquetes.

Históricamente, ha habido múltiples incidentes en los que versiones comprometidas de paquetes han sido publicadas en npm, como el caso de "event-stream" en 2018, donde un mantenimiento inocente abrió la puerta a un ataque que afectó a miles de aplicaciones. Estos incidentes subrayan la necesidad de medidas más estrictas en la gestión de paquetes y la validación de las versiones antes de su lanzamiento público.

Ante esta nueva realidad, es crucial que los desarrolladores y las organizaciones adopten buenas prácticas de seguridad. Se recomienda encarecidamente que todos los mantenedores de paquetes habiliten la autenticación en dos factores en sus cuentas de npm, así como que se familiaricen con la nueva función de publicación escalonada. Además, es aconsejable realizar auditorías regulares de las dependencias y mantener una vigilancia constante sobre las actualizaciones y cambios en las bibliotecas que se utilizan.

En resumen, la introducción de controles más estrictos en npm por parte de GitHub representa un avance significativo en la lucha por la seguridad del software en el ecosistema de código abierto. A medida que la amenaza de ataques cibernéticos sigue evolucionando, es esencial que la comunidad de desarrolladores se adapte a estas nuevas medidas y continúe priorizando la seguridad en cada etapa del desarrollo del software.

npm Adds 2FA-Gated Publishing and Package Install Controls Against Supply Chain Attacks

Source: The Hacker News

GitHub has rolled out new controls for npm to improve the security of the software supply chain, giving maintainers the ability to explicitly approve a release prior to the packages becoming publicly available for installation. Called staged publishing, the feature is now generally available on npm. It mandates that a human maintainer pass a two-factor authentication (2FA) challenge to approve

npm añade controles de instalación de paquetes y publicación con 2FA para protegerse contra ataques a la cadena de suministro. | Ciberseguridad - NarcoObservatorio