GitHub посилює вимоги автентифікації, запроваджує короткочасні токени та довірені публікації

Сервіс GitHub оголосив, що «найближчим часом» змінить параметри автентифікації та публікації у відповідь на нещодавню хвилю атак, спрямованих на екосистему npm.

Зміни стосуються усунення загроз, що виникають через зловживання токенами та шкідливим програмним забезпеченням з функцією самозапуску. У перелік заходів безпеки увійдуть: локальна публікація коду з вимогою обов’язкової двофакторної автентифікації (2FA), «гранульовані» токени з обмеженим терміном дії 7 днів та довірені публікації, які дозволяють безпечно публікувати npm-пакети безпосередньо з робочих процесів CI/CD за допомогою OpenID Connect (OIDC).

Довірена публікація, окрім усунення потреби в npm-токенах, встановлює криптографічну довіру шляхом автентифікації кожної публікації за допомогою короткочасних, специфічних для робочого процесу облікових даних, які не можна викрасти або використати повторно. Що ще важливіше, npm CLI автоматично генерує та публікує підтвердження походження для пакету.

«Кожен пакет, опублікований через довірену публікацію, містить криптографічне підтвердження його джерела та середовища збірки. Ваші користувачі можуть перевірити, де і як було зібрано ваш пакет, що підвищує довіру до вашого ланцюжка поставок», — зазначають в GitHub.

Для підтримки цих змін GitHub збирається вжити наступні заходи:

• Скасування застарілих класичних токенів доступу.
• Скасування двофакторної автентифікації з одноразовим паролем (TOTP) на основі часу, переведення користувачів на двофакторну автентифікацію на основі FIDO.
• Обмеження гранульованих токенів дозволами на публікацію більш коротким терміном дії.
• Налаштування доступу до публікацій таким чином, щоб це забороняло токени за замовчуванням, заохочення використання перевірених видавців або локальної публікації з примусовою 2FA.
• Видалення опції обходу 2FA для публікації локальних пакетів.
• Розширення списку відповідних постачальників для надійних публікацій.

Рішення про посилення заходів безпеки з’явилось через тиждень після того, як 14 вересня 2025 року сталась атака Shai-Hulud — самовідтворюваного шкідливого ПЗ, яке проникло в екосистему npm через скомпрометовані облікові записи розробників, впроваджуючи шкідливі пост-інсталяційні скрипти в популярні пакети JavaScript. Поєднуючи самовідтворення з можливістю красти різні типи секретів (а не лише токени npm), цей софт міг призвести до нескінченного потоку атак, якби не своєчасні дії GitHub та розробників open source.