После новой волны фишинг-атак на сопровождающих, инцидентов с компрометацией популярных пакетов и появления червей, поражающих зависимости, в репозитории NPM решено реализовать дополнительные меры защиты:
Источник: https://www.opennet.ru/opennews/art.shtml?num=63930
- Двухфакторная аутентификация станет обязательной при локальной публикации пакетов. Использование одноразовых паролей (TOTP) для двухфакторной аутентификации будет объявлено устаревшим. Пользователи будут переведены на протокол FIDO U2F. Переход на гранулированные токены, время жизни которых ограничено 7 днями. Классические токены будут объявлены устаревшими и доступ с их помощью будет по умолчанию отключён. Применение механизма "Trusted Publishers", основанного на использовании стандарта OpenID Connect (OIDC) и токенов аутентификации с ограниченным временем действия, которыми обмениваются внешние сервисы и каталог пакетов для подтверждения операции публикации пакета вместо использования традиционных паролей или постоянных токенов доступа к API.
Источник: https://www.opennet.ru/opennews/art.shtml?num=63930