CISA adviseert phishingbestendige MFA voor alle GitHub- en npm-accounts

[Captain Kirk]

Het Amerikaanse cyberagentschap CISA adviseert organisaties die gebruikmaken van GitHub en npm om voor alle ontwikkelaccounts phishingbestendige multifactorauthenticatie (MFA) in te schakelen. Daarnaast moet van alle software die van npm gebruikmaakt worden gecontroleerd van welke packages ze afhankelijk zijn. Aanleiding voor de oproep is een recente aanval waarbij meer dan vijfhonderd npm packages van malware werden voorzien.

GitHub is een populair platform voor softwareontwikkeling. Het is ook eigenaar van npm, de standaard package manager voor de JavaScript-omgeving Node.js en naar eigen zeggen het grootste softwarearchief ter wereld. Via de npm Registry biedt het een groot archief met openbare, besloten en commerciële packages. Bij een recente aanval raakten systemen van ontwikkelaars besmet. Eenmaal actief op het systeem van de ontwikkelaar zocht de malware naar tokens waarmee toegang tot andere npm packages kon worden verkregen. Vervolgens voegde de malware zich aan deze packages toe.

Tal van npm packages hebben te maken met zogenoemde dependencies, waarbij er van andere npm packages gebruik wordt gemaakt. Eén malafide package kan zodoende allerlei andere softwareprojecten en ontwikkelaars raken. De aanvallers hadden het voorzien op GitHub Personal Access Tokens (PATs) en API keys voor clouddiensten, waaronder Amazon Web Services, Google Cloud Platform en Microsoft Azure, aldus het CISA.

Naar aanleiding van de malware-aanval adviseert het Amerikaanse cyberagentschap een dependency review uit te voeren van alle software die van npm packages gebruikmaakt. Verder wordt aangeraden om de inloggegevens van alle ontwikkelaars te wijzigen, phishingbestendige MFA voor alle ontwikkelaccounts te gebruiken, met name op GitHub en npm, op verdacht verkeer te monitoren en onnodige GitHub Apps en OAuth applicaties te verwijderen.

GitHub heeft zelf ook verschillende maatregelen aangekondigd om de nmp supply chain te beveiligen. Zo komen er 'granular tokens' die maximaal zeven dagen werken, wordt tweefactorauthenticatie (2FA) voor local publishing verplicht en wordt er ingezet op Trusted publishing.

 

bron: https://www.security.nl