Tarehe 13 Oktoba mwaka 2025, : mipaka mpya ya maisha ya token (maximum ya siku 90, default ya siku 7), token za upatikanaji wa granular zinazohitajika ambazo zitachukua nafasi ya tokens za jadi, na vikwazo vya TOTP 2FA kwa faida ya WebAuthn. tokens za kawaida zitafutwa kikamilifu kuanzia katikati ya Novemba. Mabadiliko makubwa ya usalama kwa utambulisho wa npm Mabadiliko haya yanahusiana na mazoea ya usalama ya kisasa, yaliyofuatiwa na AWS, Google Cloud, na GitHub. Lakini kuna swali lisilo na wasiwasi ambalo jamii ya usalama haina kuuliza kwa sauti ya kutosha: je, yoyote ya haya yamezuia mashambulizi tuliyoyaona? Jibu ni hakuna. Vektor ya mashambulizi ya kweli Siku chache tu kabla ya kutangazwa kwa npm, Septemba 8, 2025, mojawapo ya matukio makubwa zaidi ya npm katika historia ya hivi karibuni ilionekana wakati maktaba maarufu kama debug na chalk pamoja na makampuni mengine 16 yalikamatwa na kuharibiwa kwa npm na msimbo mbaya unaotumia pesa za cryptocurrency. Msimamizi alithibitisha kuwa akaunti yao ya npm ilikuwa imefichwa kupitia barua pepe ya kurejesha 2FA iliyotumwa kutoka kwa kikoa cha uongo (npmjs.help). Mshambuliaji hakuhitaji kuiba token iliyo na maisha ya muda mrefu. Haikufanya matumizi ya ruhusa za token zenye nguvu. Walinipeleka barua pepe ya kuwahakikishia na kukusanya jina la mtumiaji, password, na msimbo wa TOTP, kisha kutumia hizi ili kuchukua akaunti kamili na kuchapisha matoleo mabaya. Matoleo mabaya yalikuwa hai kwa masaa mawili tu, lakini wakati wa muda mfupi wa masaa mawili ambapo matoleo mabaya yalikuwa inapatikana kwenye npm, msimbo mbaya ulifanikiwa kufikia 1 katika mazingira ya wingu 10. maisha ya token haikuwa na umuhimu—mshambuliaji alikuwa na upatikanaji kamili wa akaunti na angeweza kuzalisha tokens mpya kwa mapenzi yake. Kabla ya mwaka wa 2024, tulishuhudia mashambulizi ya kisasa zaidi. XZ Utils backdoor ilihusisha mchezaji wa vitisho ambaye alitumia miaka miwili hadi mitatu kujenga uaminifu kama mchanganyiko wa jina la Jia Tan, kwa hatua kwa hatua kupata majukumu ya mtoa huduma kupitia uhandisi wa kijamii unaoendelea. Kuanzia mwaka wa 2022, akaunti za dolls za shaka zilianza kumshawishi mtoa huduma wa awali kuhusu ukosefu wao wa kasi katika kutumia updates, na hatimaye kusababisha Jia Tan kupewa hali ya mtoa huduma. Mara baada ya kuaminika, Jia Tan ilizindua code ya backdoor mnamo Februari na Machi 2024, ambayo ililenga mchakato wa kujenga XZ Utils, kwa lengo la kuwashawishi code ya backdoor kwenye usambazaji mkubwa wa Linux. Hakuna mashambulizi yanayohusisha token zilizochukuliwa, wala hayakuzuiliwa na maisha mafupi ya token. Nini NPM kwa kweli ni Fixing Ili kuwa wazi, mabadiliko ya npm hayana thamani. Tokens za muda mrefu ni vektor ya msingi kwa mashambulizi ya mzunguko wa usambazaji, na muda mfupi wa maisha hupunguza dirisha la uvumbuzi. Kubadilisha kutoka TOTP kwa utambulisho wa WebAuthn ni bora sana—passkeys ni ngumu zaidi ya phish kuliko codes za mara moja. Lakini hii ni kuboresha utulivu, sio mabadiliko ya msingi ya usalama. Mshambuliaji anapoteza token kutoka kwa mfumo wa CI / CD Kumbukumbu ina ruhusa ya kuandika Mtumiaji hakuona kwa miezi kadhaa Mshambuliaji hutumia token hiyo maalum ili kuchapisha pakiti mbaya Hii ni kutibu dalili (utokanaji wa token) badala ya ugonjwa (ukosefu wa mtazamo wa msimbo, asili ya kutosha, usalama wa akaunti ya mlinzi, na kimsingi, urahisi na ambayo msimbo mbaya unaweza kuchapishwa). Matatizo makubwa ya NPM hayana ufumbuzi Mashambulizi ya Septemba 2025 npm yanaonyesha udhaifu wa msingi: Ukiukwaji mmoja ulianguka katika mazingira ndani ya masaa, unaonyesha jinsi hata mashambulizi moja ya phishing yanayopangwa yanaweza kuenea katika mzunguko wote wa usambazaji wa chanzo cha wazi. Hata hivyo, mageuzi ya usalama wa npm haifanyi kazi: Ukiukwaji wa akaunti kupitia phishing: Mashambulizi ya Septemba yalifikiwa licha ya walinzi kuwa na 2FA iliyoidhinishwa. Domain ya uwongo (npmjs.help badala ya npmjs.com) ilikuwa ya kutosha. maisha ya muda mfupi ya token hayana umuhimu wakati wa kushambuliaji wanaweza kudhibiti akaunti yenyewe. Mashambulizi ya uhandisi wa kijamii: tukio la XZ Utils lilionyesha kwamba mbinu za uhandisi wa kijamii zina mahitaji ya kiufundi ya chini sana ili kupata upatikanaji kamili wa mazingira ya maendeleo kuliko mashambulizi ya mzunguko wa usambazaji uliopita. Utambulisho wa msimbo mbaya: Msimamizi wa halali na takwimu sahihi anaweza kuchapisha chochote. Msimbo mbaya uliotumwa kwenye vifurushi vya npm vilivyoathiriwa ulifanywa hasa kwa lengo la fedha za cryptocurrency, kuunganisha kazi muhimu za kuzuia trafiki ya wavuti na ushirikiano wa wallet katika muda halisi. Hakuna ukaguzi wa utaratibu wa kukamata hii kabla ya kuchapishwa. Mtengenezaji Josh Junon, anajulikana kwa ujumla kama 'qix,' alikuwa na mchango wa GitHub zaidi ya 1,800 katika mwaka uliopita - mtendaji wa kuaminika, mwenye uhakika. Nini kweli itasaidia Njia ambazo zinaweza kupunguza hatari ya mzunguko wa usambazaji kwa kiasi kikubwa ni za gharama kubwa, za kimapenzi, na kubadilisha kimsingi kauli ya thamani ya msingi ya npm ya "kuchapisha kitu chochote, mara moja": Utafiti wa lazima wa msimbo kwa mipango ya athari kubwa: Mpango wowote ulio juu ya kiwango cha kupakuliwa kila wiki unapaswa kuhitaji uchunguzi wa toleo jipya, hasa wale wanaoongeza utegemezi au kufanya mabadiliko ya usanifu. Uchambuzi wa tabia wakati wa kuchapisha: mifumo ya automatiska ambayo huonyesha mifano isiyo ya kawaida - utegemezi mpya, msimbo uliokithiri, wito wa mtandao kwa kikoa zisizotarajiwa, hooks crypto wallet. Uhakiki wa utambulisho wa watumiaji: mahitaji halisi ya utambulisho kwa watumiaji wa pakiti zilizotumika sana. Mahitaji ya asili: saini ya lazima na uthibitisho unaonyesha sio tu nani alichapisha mfuko, lakini mahali ambapo ujenzi ulifanyika, kutoka kwa chanzo gani, na na utegemezi gani. Sera za kuvunja: Mabadiliko makubwa ya toleo au utegemezi mpya katika mipango maarufu inapaswa kusababisha uchunguzi zaidi, sio kuchapishwa mara moja. Mabadiliko ya npm yatashughulikiwa kwa hatua, na mipaka ya maisha ya token yatatumika mwanzoni mwa Oktoba na tokens za jadi zilizochukuliwa katikati ya Novemba. Mabadiliko haya yanashikilia npm na viwango vya sekta—AWS, Google Cloud, na majukwaa mengine yamehamishwa kwa vitambulisho vya muda mfupi miaka iliyopita. Ukweli usio na hisia npm anajua kwamba "kuhifadhi npm ni jukumu la kushirikiana" na kwamba "mabadiliko haya yanaweza kusababisha shinikizo la muda". Lakini shinikizo linawekwa juu ya walinzi - rotation ya token ya mara kwa mara, uhamiaji kwa mbinu mpya za utambulisho - wakati maeneo halisi ya mashambulizi yanaendelea kwa kiasi kikubwa bila kukabiliana. Mashambulizi ya Septemba yalithibitisha: maelfu ya watengenezaji wangeweza kufunga pakiti mbaya wakati wa dirisha la kukabiliana, na masaa manne baada ya kukubaliana, npm ilipoteza matoleo yote ya pakiti yaliyoathiriwa. Mfumo ulifanya kazi kwa sababu jumuiya iligundua mashambulizi haraka na npm inaweza kujibu. Lakini jumuiya ilipata bahati na dirisha la saa 2. npm ina pakiti za milioni 2 zilizohifadhiwa na maelfu ya watengenezaji wa kujitegemea, wengi wanacheza chanzo cha wazi kama mradi wa upande. jukwaa linawahimiza sana kuanzisha utangazaji wa kuaminika (OIDC), ambayo huondoa tokens za muda mrefu kabisa kwa kutumia vipengele vya muda, vya kazi kutoka kwa wauzaji wa CI / CD. Hii ni nzuri. Lakini hata na utambulisho kamili wa utambulisho, mtumiaji halali na vipengele sahihi vya OIDC bado anaweza kuchapisha backdoor. Ukweli mbaya ni kwamba uongofu wa token na uongofu wa WebAuthn ni maboresho ya usalama yaliyoonekana ambayo yanaonekana vizuri katika machapisho ya changelog. Wameathiri udhaifu halisi na kuunganisha npm na mazoezi ya usalama ya kisasa. Lakini hawawezi kutatua tatizo la msingi: katika mazingira ambapo mtu yeyote anaweza kuchapisha chochote mara moja, kiungo chungu sio token maisha - ni imani yenyewe. Kabla ya npm kukabiliana na ukaguzi wa mfumo wa msimbo, uchunguzi wa tabia, na ukweli kwamba "kuchapisha mara moja" inapingana na "kuchapisha salama," sisi ni kutibu dalili wakati ugonjwa unaenea.

Hot off the press! This story contains factual information about a recent event.

This story contains AI-generated text. The author has used AI either for research, to generate outlines, or write the text itself. 

Walkthroughs, tutorials, guides, and tips. This story will teach you how to do something new or how to do something better.

ENCAPSULATION TECHNOLOGIES

At Encapsulation.Tech we organize and structure code, enhancing security and promote a software design.

Encapsulation's blog

Sauti hii imetolewa katika lugha asilia ya hadithi!

Hatari mpya ya token ya npm haiwezi kuzuia mashambulizi ambayo kwa kweli hutokea

About Author

MAONI

HANG TAGS

MAKALA HII ILIWASILISHWA NDANI

Related Stories

A PENDENT WORLD

Sweet Security Unveils First Unified Detection And Response Platform

Jinsi $ TRUTH token ya Swarm Network inapanga kukabiliana na taarifa mbaya kupitia uhakiki wa Blockchain

Master Crypto Security: Your Complete Guide to Safe Wallet Management

A PENDENT WORLD

Sweet Security Unveils First Unified Detection And Response Platform

Jinsi $ TRUTH token ya Swarm Network inapanga kukabiliana na taarifa mbaya kupitia uhakiki wa Blockchain

Master Crypto Security: Your Complete Guide to Safe Wallet Management

Light-Mode

Classic

Newspaper

Minty

Dark-Mode

Neon Noir

Minty

HN StartUps