CISA adviseert phishingbestendige MFA voor alle GitHub- en npm-accounts
Het Amerikaanse cyberagentschap CISA adviseert organisaties die gebruikmaken van GitHub en npm om voor alle ontwikkelaccounts phishingbestendige multifactorauthenticatie (MFA) in te schakelen. Daarnaast moet van alle software die van npm gebruikmaakt worden gecontroleerd van welke packages ze afhankelijk zijn. Aanleiding voor de oproep is een recente aanval waarbij meer dan vijfhonderd npm packages van malware werden voorzien.
GitHub is een populair platform voor softwareontwikkeling. Het is ook eigenaar van npm, de standaard package manager voor de JavaScript-omgeving Node.js en naar eigen zeggen het grootste softwarearchief ter wereld. Via de npm Registry biedt het een groot archief met openbare, besloten en commerciële packages. Bij een recente aanval raakten systemen van ontwikkelaars besmet. Eenmaal actief op het systeem van de ontwikkelaar zocht de malware naar tokens waarmee toegang tot andere npm packages kon worden verkregen. Vervolgens voegde de malware zich aan deze packages toe.
Tal van npm packages hebben te maken met zogenoemde dependencies, waarbij er van andere npm packages gebruik wordt gemaakt. Eén malafide package kan zodoende allerlei andere softwareprojecten en ontwikkelaars raken. De aanvallers hadden het voorzien op GitHub Personal Access Tokens (PATs) en API keys voor clouddiensten, waaronder Amazon Web Services, Google Cloud Platform en Microsoft Azure, aldus het CISA.
Naar aanleiding van de malware-aanval adviseert het Amerikaanse cyberagentschap een dependency review uit te voeren van alle software die van npm packages gebruikmaakt. Verder wordt aangeraden om de inloggegevens van alle ontwikkelaars te wijzigen, phishingbestendige MFA voor alle ontwikkelaccounts te gebruiken, met name op GitHub en npm, op verdacht verkeer te monitoren en onnodige GitHub Apps en OAuth applicaties te verwijderen.
GitHub heeft zelf ook verschillende maatregelen aangekondigd om de nmp supply chain te beveiligen. Zo komen er 'granular tokens' die maximaal zeven dagen werken, wordt tweefactorauthenticatie (2FA) voor local publishing verplicht en wordt er ingezet op Trusted publishing.
Leer het af op links van derden te klikken.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Netwerkspecialist
Maak jij gemeente Delft digitaal sterker met jouw kennis van netwerken? Wil jij werken met een state-of-the-art netwerk en meebouwen aan de digitale toekomst van Delft? Bij ons combineer je strategie en uitvoering: van het ontwerpen van netwerkarchitectuur tot het oplossen van complexe incidenten. Zo maak jij écht impact, niet alleen op onze organisatie, maar op heel de stad.
Subsidie
Veel IT-dienstverleners wijzen hun mkb-klanten nu op deze cybersubsidie:
Mijn Cyberweerbare Zaak
Ontdek waarom
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?