GitHub, którego właścicielem jest Microsoft, został zarządcą platformy programistycznej NPM w połowie zeszłego o roku. Platforma informuje, że nowa metoda uwierzytelniania wejdzie w życie na początku przyszłego roku.

GitHub odnotował w ostatnim czasie kilka poważnych przypadków atakowania przez hakerów rejestru NPM. Jeden z nich miał miejsce w październiku tego roku i został wykryty podczas rutynowej operacji konserwowania repozytorium. Okazało się, że znalazły się tam rekordy publikowane w publicznym kanale zmian (mające format @owner) które pozwalały identyfikować właścicieli prywatnych pakietów. Stało się tak prawdopodobnie za sprawą hakerów.

Zobacz również:

• Dzięki tej umowie polska policja zyska wiedzę i narzędzia zapobiegające cyfrowym zagrożeniom
• GitHub prezentuje funkcję wykorzystującą AI, która automatycznie skanuje i naprawia kod aplikacji

Kolejny incydent odnotowano na początku listopada. GitHub otrzymał raport o luce, która umożliwiałaby atakującemu opublikowanie nowych wersji dowolnego pakietu NPM przy użyciu konta nie mającego odpowiedniej autoryzacji. Luka ta została załatana w ciągu sześciu godzin od otrzymania zgłoszenia.

GitHub został przejęty przez Microsoft w 2018 roku za kwotę opiewającą na 7,5 mld USD.