腾讯企业邮箱，数千开发者的npm账户在使用域名已过期的电子邮件地址

数千开拓者的npm账户在运用域名已经过时的电子邮件地址  邮箱网    338次浏览  2022年02月16日 星期三 21:51 邮箱网讯 2月16日新闻 去年，微软以及北卡罗莱纳州立大学的钻研职员，合成了上传到 npm 上的 1630101 个库的元数据。服从发现，数以千计的 JavaScript 开拓者账户，正在运用域名已经过时的电子邮件地址，象征着他们的名目很简略被劫持。在 2818 名名目呵护者运用的电子邮件地址中，某些已经过时的域名已经挂在 GoDaddy 等网站上待售。 NPM 是“节点包揽理器”（Node Package Manager）的缩写 钻研职员指出，分心不良的侵略者可置办这些域名，在其电子邮件效率器上重新注册呵护者的地址，而后重置呵护者的账户明码、以接管受益者的 npm 包。 这种侵略未遂的隐患很大，由于 npm 门户不会对于账户所有者欺压实施 2FA 双因素身份验证。象征着一旦被侵略者重置明码，他们即可任意修正相关软件包。 合计 2818 个呵护者账户在规画 8494 个包，其中平均有 2.43 个直接依赖项，表明特定侵略可波及恒河沙数的此外卑劣名目。 所有者可能会觉察到其账户被劫持，但思考到良多 npm 库以及账户要末临时被凋敝（高达 58.7% 未患上到呵护）、要末便是已经被扔掉（44.3%），情景并不容悲不雅。 钻研团队将它们的发现传递给了 npm 清静团队，但并未剖析对于方给出了奈何样的回应。 妨碍 The Record 发稿时，发给 npm 上属的 GitHub 的电子邮件，暂未看到退件回执。 欢喜的是，在钻研服从于 2021 年 12 月宣告的头多少天，npm 已经宣告一项新妄想，宣称要逐渐闪开拓者账户欺压实施双因素身份验证。 该历程将分多个阶段妨碍，且本月初注册的前百名呵护者账户都已经落实 2FA 妄想。欲知概况，还请翻阅《npm 提供链中的单薄关键》一文。 如下是钻研团队的一些此外发现： ● 33249 个软件包（2.2%）运用了装置剧本，或者被滥用于实施恶意命令、且违背 npm 的*佳清静实际。 ● 排名前 1% 的软件包（14941 个），平均有 32.4 名呵护者 —— 这为针对于不沉闷 / 疏于照料的开拓者账户妨碍的侵略封锁了大门。 ● 389 个软件包，平均有 40 名贡献者 —— 这为意外植入的清静倾向、或者让名目充斥潜在恶意代码而留下了隐患。 ● 前 1% 呵护者，平均规画着 180.3 个软件包；而直接依赖的包数目，平均为 4010 个 —— 象征着某些开拓者可能可能过劳，或者不太多肉体来残缺呵护或者魔难软件包的变更。 标签:电子邮件npm