Cộng đồng phát triển JavaScript một lần nữa phải vật lộn với các cuộc tấn công chuỗi cung ứng nhắm vào trình quản lý gói NPM, đặt ra những câu hỏi nghiêm túc về tính bảo mật của kho lưu trữ mã lớn nhất thế giới. Các sự cố gần đây đã xâm phạm những gói phổ biến được hàng nghìn nhà phát triển sử dụng hàng ngày, đánh cắp dữ liệu nhạy cảm bao gồm khóa AWS và token xác thực.
Vai trò của Microsoft bị xem xét kỹ lưỡng
Kể từ khi Microsoft mua lại NPM thông qua GitHub vào năm 2020, gã khổng lồ công nghệ này đã phải đối mặt với sự chỉ trích ngày càng tăng vì không giải quyết được các lỗ hổng bảo mật cơ bản. Công ty hiện kiểm soát toàn bộ hệ sinh thái JavaScript - từ kho lưu trữ mã ( GitHub ) đến phân phối gói ( NPM ) và môi trường phát triển chính ( VS Code ). Mặc dù có nguồn tài chính dồi dào và tài nguyên phong phú, Microsoft đã có rất ít tiến bộ trong việc bảo mật nền tảng khỏi các tác nhân độc hại.
Vấn đề cốt lõi nằm ở những quyết định thiết kế của NPM được đưa ra hơn một thập kỷ trước. Các tính năng như script postinstall và npx cho phép các gói thực thi mã tùy ý trong quá trình cài đặt, tạo ra một vector tấn công dễ dàng. Khi kết hợp với văn hóa cập nhật tích cực của NPM và xu hướng của hệ sinh thái bao gồm hàng trăm hoặc hàng nghìn dependency, bề mặt tấn công trở nên rất lớn.
Các Lỗ Hổng Bảo Mật Chính trong NPM
- Postinstall Scripts: Cho phép thực thi mã tùy ý trong quá trình cài đặt gói
- NPX Tool: Có thể chạy bất kỳ module nào từ bất kỳ nguồn web nào mà không cần tương tác của người dùng
- Automatic Updates: Văn hóa nâng cấp tích cực với phạm vi semver (^) theo mặc định
- No Code Signing: Các gói không được ký số hoặc xác minh bằng mật mã
- Weak 2FA Requirements: Chỉ có top 100 gói yêu cầu xác thực hai yếu tố
Phản ứng từ cộng đồng và các giải pháp được đề xuất
Các nhà phát triển ngày càng thất vọng với việc thiếu các cải tiến bảo mật có ý nghĩa. Nhiều người chỉ ra các trình quản lý gói thay thế như pnpm, vốn vô hiệu hóa script post-install theo mặc định và bao gồm các tính năng như chính sách tuổi phát hành tối thiểu để trì hoãn việc cập nhật tự động các gói mới được xuất bản.
Các công cụ chúng ta sử dụng để xây dựng phần mềm không được bảo mật theo mặc định, và hầu hết thời gian, các công ty cung cấp chúng không phải chịu trách nhiệm về tính bảo mật của sản phẩm của họ.
Các chuyên gia bảo mật đề xuất một số cải tiến ngay lập tức: xác thực hai yếu tố bắt buộc cho tất cả người duy trì gói, yêu cầu ký mã, và quét tự động nội dung độc hại trước khi xuất bản. Một số nhà phát triển đã triển khai các biện pháp bảo vệ riêng của họ, bao gồm ghim dependency, sandbox hóa việc cài đặt, và xem xét mã thủ công cho các bản cập nhật.
Các Biện Pháp Bảo Mật Được Khuyến Nghị
- Sử dụng pnpm thay vì npm để có bảo mật mặc định tốt hơn
- Cố định phiên bản chính xác thay vì sử dụng phạm vi semver
- Triển khai thời gian chờ cho các phiên bản gói mới (24-72 giờ)
- Cài đặt trong sandbox sử dụng các công cụ như bubblewrap trên Linux
- Đánh giá dependency thủ công cho các dự án quan trọng
- Sử dụng npm audit và các công cụ quét dependency thường xuyên
Vấn đề hệ sinh thái rộng lớn hơn
Cuộc khủng hoảng bảo mật NPM phản ánh những vấn đề sâu xa hơn trong mô hình phần mềm mã nguồn mở. Các công ty Fortune 500 phụ thuộc rất nhiều vào phần mềm miễn phí được duy trì bởi các tình nguyện viên không được trả lương, nhưng lại đóng góp rất ít cho những dự án quan trọng này. Điều này tạo ra một tình huống không bền vững khi cơ sở hạ tầng thiết yếu thiếu giám sát bảo mật thích hợp.
Không giống như các trình quản lý gói khác đã triển khai các biện pháp bảo mật - PyPI có attestation và trusted publisher, Ruby có signed gem từ phiên bản 2 - NPM đã thảo luận về việc ký gói từ năm 2013 với rất ít tiến bộ cụ thể. Sự phổ biến của nền tảng khiến nó trở thành mục tiêu hấp dẫn, nhưng triết lý thiết kế của nó ưu tiên tính dễ sử dụng hơn tính bảo mật.
Các Trình Quản Lý Gói Thay Thế với Bảo Mật Tốt Hơn
| Trình Quản Lý Gói | Tính Năng Bảo Mật |
|---|---|
| pnpm | Vô hiệu hóa các script postinstall theo mặc định, chính sách tuổi phát hành tối thiểu |
| PyPI | Hỗ trợ xác thực, hệ thống nhà xuất bản đáng tin cậy |
| RubyGems | Hỗ trợ ký gem từ phiên bản 2 |
| Maven | Quy trình phê duyệt pháp lý, cập nhật được kiểm tra kỹ lưỡng trong doanh nghiệp |
Nhìn về tương lai
Khi các cuộc tấn công chuỗi cung ứng trở nên tinh vi và thường xuyên hơn, cộng đồng JavaScript đối mặt với một điểm quyết định quan trọng. Một số nhà phát triển ủng hộ các biện pháp bảo mật nghiêm ngặt hơn ngay cả khi chúng làm phức tạp quá trình phát triển, trong khi những người khác phản đối những thay đổi có thể làm chậm văn hóa lặp lại nhanh chóng đã định hình sự phát triển JavaScript.
Tình hình hiện tại làm nổi bật nhu cầu thay đổi toàn ngành về bảo mật chuỗi cung ứng phần mềm. Nếu không có hành động phối hợp từ chủ sở hữu nền tảng, người duy trì gói và các tổ chức tiêu thụ, những cuộc tấn công này có thể sẽ tiếp tục leo thang về cả tần suất và mức độ tinh vi.
Tham khảo: Oh no, not again... a meditation on NPM supply chain attacks