GitHub kondigde maandag aan dat het zijn authenticatie- en publicatie-opties “in de nabije toekomst” zal veranderen in reactie op een recente golf van supply chain-aanvallen die zich richten op het NPM-ecosysteem, inclusief de Shai-Hulud-aanval.
Dit omvat stappen om bedreigingen aan te pakken die worden gesteld door tokenmisbruik en zelfreplicerende malware door lokale publicatie toe te staan met de vereiste tweefactor-authenticatie (2FA), korrelige tokens die een beperkte levensduur van zeven dagen hebben en vertrouwde publicaties, waardoor de mogelijkheid mogelijk is om NPM-pakketten direct te publiceren vanuit CI/CD-werkplaten die openbaar worden gesloten (OIDC).
Vertrouwde publicatie, naast het elimineren van de noodzaak van NPM-tokens, vestigt cryptografisch vertrouwen door elke publicatie te authenticeren met behulp van kortstondige, workflow-specifieke referenties die niet kunnen worden geëxfiltreerd of hergebruikt. Nog belangrijker is dat de NPM CLI automatisch herkomst attestaties voor het pakket genereert en publiceert.
“Elk pakket dat wordt gepubliceerd via Trusted Publishing bevat cryptografisch bewijs van de bron- en buildomgeving,” merkte Github eind juli 2025 op. “Uw gebruikers kunnen verifiëren waar en hoe uw pakket is gebouwd, waardoor het vertrouwen in uw supply chain toeneemt.”
Om deze wijzigingen te ondersteunen, zei het bedrijf van Microsoft dat het de volgende stappen zal uitvoeren –
- Legacy Classic Tokens afschrikken.
- Afscheid van de tijdgebaseerde eenmalige wachtwoord (TOTP) 2FA, waarbij gebruikers naar FIDO gebaseerde 2FA migreren.
- Beperk korrelige tokens met publicatiemachtigingen tot een kortere afloop.
- Stel standaard openingstoegang in om tokens niet toe te staan en stimuleert het gebruik van vertrouwde uitgevers of 2FA-opgedragen lokale publicatie.
- Verwijder de optie om 2FA te omzeilen voor het publiceren van lokale pakketten.
- Breid in aanmerking komende providers voor vertrouwde publicatie.
De ontwikkeling komt een week na een supply chain-aanval met de codenaam Shai-Hulud injectie met een zelfreplicerende worm in honderden NPM-pakketten die ontwikkelaarsmachines scannen op gevoelige geheimen en overgebracht naar een aanvaller gecontroleerde server.
“Door zelfreplicatie te combineren met de mogelijkheid om meerdere soorten geheimen (en niet alleen NPM-tokens) te stelen, had deze worm een eindeloze stroom aanvallen mogelijk gemaakt als het niet tijdig was geweest voor tijdige actie van Github en open source-onderhoudsers,” zei Github’s Xavier René-Corail.
NPM-pakket bevat op QR-code gebaseerd
De openbaarmaking komt als Software Supply Chain Security Company Socket zei dat het een kwaadaardig NPM -pakket met de naam Fezbox heeft geïdentificeerd dat in staat is om browserwachtwoorden te oogsten met behulp van een nieuwe steganografische techniek. Het pakket is niet langer beschikbaar om te downloaden van NPM. Het trok in totaal 476 downloads aan sinds het voor het eerst werd gepubliceerd op 21 augustus 2025.
“In dit pakket voert de dreigingsacteur (npm alias janedu; registratie -e -mail janedu0216@gmail (.) Com) een payload uit binnen een QR -code om gebruikersnaam en wachtwoordreferenties van webcookies te stelen van webcookies, binnen de browser,” zei beveiligingsonderzoeker Olivia Brown zei.
Fezbox beweert een JavaScript -hulpprogramma te zijn dat bestaat uit gemeenschappelijke helperfuncties. Maar in werkelijkheid herbergt het stealthy -code om een QR -code van een externe URL op te halen, de QR -code te parseren en de JavaScript -lading in die URL uit te voeren.
De payload, van zijn deel, probeert Document.Cookie te lezen, gebruikersnaam- en wachtwoordinformatie uit de cookie te halen en verzendt de informatie naar een externe server (“My-Nest-App-Production> .Up.Railway (.) App”) via een HTTPS-postverzoek.
“De meeste applicaties slaan niet langer letterlijke wachtwoorden in cookies op, dus het is moeilijk om te zeggen hoe succesvol deze malware zou zijn,” merkte Brown op. “Het gebruik van een QR -code voor verdere verduistering is echter een creatieve wending van de dreigingsacteur. Deze techniek laat zien hoe dreigingsactoren hun obfuscatietechnieken blijven verbeteren en waarom het hebben van een toegewijd hulpmiddel om je afhankelijkheden te controleren belangrijker dan ooit is.”
