این پی ایم ایکو سسٹم پر حالیہ سپلائی چین حملوں کے جواب میں، GitHub نے این پی ایم رجسٹری کو مزید محفوظ بنانے اور ڈویلپرز کو خطرات سے بچانے کے لیے نئے حفاظتی اقدامات کا اعلان کیا ہے۔
حالیہ حملے
گزشتہ تین مہینوں میں اوپن سورس کمیونٹی کو کئی بڑے واقعات کا سامنا کرنا پڑا ہے:
•شائی-ہلود وارم (Shai-Hulud Worm)
گزشتہ ہفتے ایک سیلف ریپلیکیٹنگ وارم، شائی-ہلود کے نام سے، کئی مینٹینر اکاؤنٹس میں پھیل گیا۔ اس حملے کے نتیجے میں 195 پیکجز متاثر ہوئے اور 500 سے زیادہ نقصان دہ ورژنز رجسٹری پر اپ لوڈ کیے گئے۔ یہ مالویئر صرف این پی ایم ٹوکنز ہی نہیں بلکہ کئی اقسام کے سیکرٹس چرانے کی صلاحیت رکھتا تھا، جس سے یہ خاص طور پر خطرناک بن گیا۔
•فشنگ حملہ
اس سے ایک ہفتہ قبل، ڈویلپر جوش جُنون کے 18 این پی ایم پیکجز اس وقت متاثر ہوئے جب اُنہیں این پی ایم سپورٹ کے نام سے ایک فشنگ مہم کا نشانہ بنایا گیا۔ ان پیکجز کے ہفتہ وار ڈاؤن لوڈز کی تعداد 2.5 ارب سے زیادہ ہے۔
•ٹائپواسکوٹنگ حملے
جولائی میں، حملہ آوروں نے ٹائپواسکوٹنگ کے ذریعے اصلی پیکجز کی نقالی کی اور ایسے پراجیکٹس کو متاثر کیا جن کے مشترکہ ڈاؤن لوڈز 3 کروڑ سے زیادہ تھے۔
GitHub کے مطابق، شائی-ہلود حملے کو پلیٹ فارم اور اوپن سورس کمیونٹی کی بروقت کارروائی کے ذریعے قابو میں لایا گیا، ورنہ نقصان کہیں زیادہ ہو سکتا تھا۔
GitHub کے نئے حفاظتی اقدامات
ان خطرات کے بعد، GitHub نے این پی ایم پبلشنگ کے عمل کو مزید محفوظ بنانے کے لیے کئی تبدیلیاں متعارف کرائی ہیں:
•لوکل پبلشنگ کے لیے ٹو-فیکٹر آتھنٹیکیشن (2FA) لازمی ہو گا۔
•گرینولر ٹوکنز جو صرف سات دن کے لیے کارآمد ہوں گے۔
•ٹرسٹڈ پبلشنگ، جس کے ذریعے طویل مدت کے ٹوکنز کے بجائے مخصوص سورس سسٹم سے منسلک مختصر اور محدود API ٹوکنز استعمال ہوں گے۔
GitHub کا کہنا ہے کہ اگرچہ ٹرسٹڈ پبلشنگ کو آہستہ آہستہ اپنانے کے لیے متعارف کرایا گیا تھا، مگر حالیہ حملوں نے یہ واضح کر دیا ہے کہ حملہ آور انتظار نہیں کرتے۔ اسی لیے پروجیکٹس کو فوری طور پر ٹرسٹڈ پبلشنگ اپنانے کی ترغیب دی جا رہی ہے۔
پرانے طریقوں کا خاتمہ
ان اپ ڈیٹس کے ساتھ، GitHub پرانے طریقہ کار کو ختم کر رہا ہے:
•لیگیسی کلاسک ٹوکنز کو ختم کر دیا جائے گا۔
•ٹائم بیسڈ ون ٹائم پاس ورڈ (TOTP) 2FA کو WebAuthn سے بدل دیا جائے گا جو فشنگ کے خلاف زیادہ محفوظ ہے۔
•پبلشنگ پرمیشنز مزید سخت ہوں گی اور ٹوکنز بطورِ ڈیفالٹ غیر فعال ہوں گے۔
•لوکل پیکج پبلشنگ میں 2FA بائی پاس اب ممکن نہیں ہو گا۔
مرحلہ وار نفاذ
GitHub کا کہنا ہے کہ یہ تبدیلیاں کچھ ورک فلو میں ایڈجسٹمنٹ کا تقاضا کریں گی۔ اس لیے یہ اپ ڈیٹس مرحلہ وار لاگو کی جائیں گی تاکہ ڈویلپرز کو کم سے کم مشکلات ہوں اور سیکیورٹی بہتر بنائی جا سکے۔
مینٹینرز کے لیے ہدایات
GitHub مینٹینرز کو یہ اقدامات کرنے کا مشورہ دیتا ہے:
1.اپنے پروجیکٹس کے لیے ٹرسٹڈ پبلشنگ فعال کریں۔
2.پبلشنگ کے تمام عمل کے لیے 2FA لازمی کریں۔
3.WebAuthn کو 2FA کے طور پر TOTP کے بجائے استعمال کریں۔
نتیجہ
حالیہ حملے یہ ثابت کرتے ہیں کہ اوپن سورس ایکو سسٹم، خصوصاً این پی ایم جیسے بڑے پلیٹ فارمز، مستقل خطرات کی زد میں ہیں۔ GitHub ان نئے حفاظتی اقدامات کے ذریعے اُن خامیوں کو بند کرنا چاہتا ہے جنہیں حملہ آور استعمال کرتے ہیں، تاکہ ڈویلپرز کے لیے ایک محفوظ ماحول یقینی بنایا جا سکے۔
سورس
https://www.securityweek.com/github-boosting-security-in-response-to-npm-supply-chain-attacks/
