Offcanvas

개발자 / 보안 / 오픈소스

깃허브, NPM 레지스트리 사용자에 ‘2단계 인증’ 적용

2021.11.23 Paul Krill  |  InfoWorld
깃허브가 최근 발생한 2건의 자바스크립트 패키지용 NPM 레지스트리 관련 보안 사고를 감안해  NPM 상위 패키지의 유지관리자(Maintainer)와 관리자(Admin)를 대상으로 2단계 인증(2FA)를 적용한다고 발표했다. 
 
ⓒGetty Images

11월 15일(현지 시각) 회사에 따르면 계정 탈취를 방지하기 위한 ‘2FA 정책’은 오는 2022년 1분기부터 상위 패키지 코호트를 시작으로 시행될 계획이다. 한편 깃허브는 2020년 NPM을 인수해 레지스트리를 관리하고 있다.

깃허브는 악의적 행위자가 레지스트리에서 NPM 계정을 손상시킨 후, 이러한 계정에서 액세스할 수 있는 인기 있는 패키지에 악성 코드를 삽입하는 사건을 주기적으로 목격한다고 언급했다. 최근 발생한 2건의 보안 사고는 다음과 같다. 

• 지난 10월 26일 깃허브는 공개적으로 사용 가능한 NPM 서비스의 일상적인 유지보수로 인해 발생한 문제를 발견했다고 밝혔다. 공개 NPM 복제본을 실행하는 데이터베이스를 유지 관리하는 동안 비공개 패키지의 이름을 노출할 수 있는 레코드가 생성됐다. 그 결과 공개 변경 피드에 게시된 레코드로 인해 복제본 사용자가 비공개 패키지의 이름을 잠재적으로 식별할 수 있었다. 

10월 20일 이전에 생성된 비공개 패키지의 경우 @owner/package 형식의 패키지 이름이 10월 21일부터 10월 29일 사이에 노출됐다. 깃허브는 문제 발견 즉시 수정 작업을 시작했다고 전했다. 이날 비공개 패키지 이름을 포함한 모든 레코드가 replicate.npmjs.com에서 제거됐다. 이러한 문제가 다시는 발생하지 않도록 해당 공개 복제 데이터베이스를 프로비저닝하는 방법도 변경했다.

• 지난 11월 2일 깃허브는 공격자가 적절한 승인 없이 계정을 사용하여 모든 NPM 패키지의 새 버전을 게시할 수 있는 취약점을 보고 받았다. 취약점은 6시간 이내에 패치됐다고 회사 측은 말했다. ciokr@idg.co.kr 
 
Sponsored
추천 테크라이브러리

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.