GitHub: npm uvodi 72-satnu preventivnu zaštitu računa visokog utjecaja

Što je supply-chain napad i zašto npm?

Supply-chain napad — napad u kojemu zlonamjerni akter kompromitira popularni open-source paket i ubacuje zloćudni kod koji se automatski širi na milijune projekata koji ga koriste — jedna je od najopasnijih prijetnji modernom razvoju softvera. npm (Node Package Manager), registar s više od 2,5 milijuna paketa, posebno je atraktivna meta: kompromitiranje jednog popularnog paketa može istovremeno ugroziti tisuće aplikacija diljem svijeta. Do sada nije postojao nikakav zaštitni prozor između trenutka krađe pristupa i objave zloćudnog paketa.

Nova mjera: 72-satna read-only zaštita

GitHub je 25. lipnja 2026. objavio da npm od sada nameće 72-satnu read-only zaštitu na račune visokog utjecaja — one čiji paketi imaju iznimno velik broj preuzimanja i širu prisutnost u ekosustavu. Zaštita se aktivira automatski pri dvjema osjetljivim radnjama: promjeni e-mail adrese ili izmjeni 2FA recovery koda. Upravo su te dvije točke klasične mete napadača koji žele preuzeti kontrolu nad tuđim računom.

Što se blokira u zaštitnom prozoru?

Tijekom 72-satnog prozora račun ne može:

• mintati (izdavati) nove API tokene koji bi se mogli koristiti za automatsku objavu
• objavljivati pakete ili nove verzije postojećih paketa

Legitimni vlasnik računa prima obavijest i ima dovoljno vremena reagirati — bilo da je promjena bila planirana ili je rezultat krađe pristupa. Tek po isteku prozora bez daljnjih sigurnosnih signala, pristup se vraća u normalan rad.

Usporedba s ranijim stanjem

Prije ove promjene napadač koji je uspio preuzeti npm račun mogao je odmah objaviti zloćudni paket — bez ikakve kašnjenja ili upozorenja zajednici. Sada postoji strukturna prepreka koja daje 72 sata za otkrivanje i sanaciju, čak i ako napadač posjeduje valjane vjerodajnice. To je kvalitativna promjena u obrani supply-chaina: od reaktivnog (uklanjanje zloćudnog paketa nakon objave) prema preventivnom (blokiranje objave dok se provjeri integritet računa).