Более половины npm-пакетов могут быть скомпрометированы из-за тривиальных паролей доступа

Никита Сковорода, входящий в управляющий технический комитет проекта Node.js, опубликовал результаты анализа надежности паролей для доступа к учетным записям в репозитории NPM. Результат оказался более чем печальным - в ходе проверки удалось получить доступ к 12% аккаунтов (13% пакетов) из-за использования в них предсказуемых и тривиальных паролей, таких как "123456" Среди подобных учетных записей есть и популярные модули, которые находятся в зависимостях у других проектах. С учетом загрузки других модулей по цепочке зависимостей, компрометация ненадежных учетных записей может поразить в сумме до 52% от всех модулей в NPM.

Всего удалось получить доступ к 15495 учетным записям, используемым для управления 66876 пакетами. В том числе был получен доступ к 4 учетным записям пользователей из Top20 самых популярных пакетов. Также был получен контроль над 13 пользователями, пакты которых загружают более 50 млн раз в месяц, 40 пользователями с более 10 млн загрузок в месяц и 282 с более 1 млн загрузок в месяц. Компания NPM Inc приняла исследование во внимание и инициировала процесс смены паролей для ненадежных учетных записей.

Контроль над 2545 учетными записями (5470 пакетов) был получен в ходе проведения Bruteforce-атаки по подбору типовых паролей. Данные об 12150 учетных записях (57112 пакетов) были получены путем использования сведений из крупных публичных утечек баз паролей. Допуск к 732 учетным записям (4786 пакетов) удалось получить путем варьирования пароля из публичных утечек (например, добавление цифр, замена имени на npm и т. п.). Контроль над оставшимися 120 проблемными учетными записями (582 пакета) был получен через подбор типовых паролей к сторонним серисами, таким как GitHub и Google.

Некоторые интересные факты:

• В учетной записи для доступа к модулю koa, который в прошлом месяце был загружен 300 тысяч раз, использовался пароль "password";
• Один из пользователей, контролирующий более 20 млн загрузок в месяц, в ответ на отзыв скомпрометированного пароля, установил в качестве нового пароля содержимое старого, добавив к нему символ "!";
• Пользователь, входящий в top-20, после сброса скомпрометированного пароля опять вернул свой старый пароль через некоторое время;
• У 662 пользователей был установлен пароль "123456", у 168 - "123", у 115 - "password";
  
  
• 1409 пользователей (1%) указали в качестве пароля свой логин;
• Посоле сброса паролей 9.7% пользователей сразу вернули свой старый заведомо скомпрометированный пароль, а 0.6% вернули старый пароль, но внеся в него незначительное изменение;
  
  
• Общий размер всех пакетов, к которым был получен доступ в ходе исследования, составило почти два миллиарда (1 946 302 172) загрузок в месяц, что составляет 20% от общего объема загрузок.