因使用域名过期邮箱,数千 npm 帐号被劫持,javascript 又出大事故


微软和北卡罗来纳州立大学去年合作开展了一个学术研究项目,研究人员通过分析上传到 Node Package Manager (npm) 的大约 163 万个库的元数据,发现数千名 JavaScript 开发者正在使用域名过期的邮箱作为其 npm 帐户,从而导致他们托管在 npm 的项目会轻易被劫持。

据称,npm 上所有用户的邮件地址都是公开的。通过请求个人资料页面即可返回邮件地址:

npm 是最大的 JavaScript 软件包仓库。研究人员发现 2818 名项目维护者的帐户仍在使用域名过期的邮箱地址,而部分过期的域名正在 GoDaddy 等网站上出售。因此研究人员认为,攻击者可通过购买已过期的域名,然后在邮件服务器上重新注册这些维护者的地址,从而实现重置维护者的帐户密码并接管 npm 软件包。

下面的图片展示了一名开发者尝试接管ajv-formats软件包(维护者是additiveamateur)并成功“劫持”的过程:

0. 首先是获取帐户的注册邮件地址:carlo[@]machina.bio

1. 购买已过期的域名:machina.bio

2. 通过域名接管了帐户的邮件地址后,尝试重置密码:

此步骤遭遇了一些问题,但开发者通过联系技术支持得到解决:

最后成功重置了ajv-formats软件包维护者的帐户密码:

登录并成功接管项目:

研究人员表示,他们在研究报告发布前将其研究结果发送给了 npm 安全团队,虽然对方没有反馈,但在研究报告正式发布前,npm 宣布了逐步为开发者帐户强制执行 2FA(双因素认证)的计划。


相關推薦

2022-11-05

有网友发现,当他使用 Google 搜索开源图像编辑软件 "GIMP" 时,搜索引擎返回的第一条结果是包含广告标记的「GIMP.org」官网。但点击该广告却进入了伪装成 GIMP 的钓鱼网站,而不是真正的官网,它提供下载的是伪装成 GIMP 的 700MB

2022-07-27

被逐出 Debian 社区之后,开发者 Daniel Pocock 一直在使用“debian.community”域名批评 Debian 项目及其成员。因此,Debian 项目、Debian 瑞士代表组织 Debian.ch  ,以及非营利组织 SPI 联合向世界知识产权组织(WIPO) 提起了诉讼,想

2023-05-30

sp;2FA 验证将在年底强制执行,届时 PyPI 将开始根据 2FA 的使用情况限制对某些站点功能的访问,如果某些软件包事故多发,可能会提前执行强制 2FA 措施。

2023-04-11

付,以及QQ文件传输、QQ空间和QQ邮箱在内的多个功能无法使用。 直到3月29日早间,腾讯微信团队才回应表示,经工程师抢修,系统正在逐步恢复。 虽然该故障在当天稍晚时候就被修复,但腾讯仍然对本次事故开出了堪

2023-03-22

件(brand-jacking),暗示为 trustworthy authors(品牌劫持)或使用不同语言或生态系统中的通用命名模式(combo-squatting)。 Security OSS-RISK-4 未维护的软件 组件或组件版本可能不再积极开发,因此,原始开源项目可能不会及时

2022-07-12

,该事件涉及一位开发人员从 npm 注册表中撤回他的关键 JavaScript 项目,从而引发了大范围的连锁反应。不过 Unterwaditzer 只是重新发布'atomicwrites'的版本,以重置他的项目的下载数量(以及 PyPI 分配的"关键"项目状态),而不是永

2024-09-20

https://javascript.tm 网站上发起了一项让 Oracle 放弃 JavaScript 商标权的联名呼吁。目前已有包括 Node.js 的创造者、JavaScript 的创造者、Svelte 创始人、npm 创建者、Socket 首席执行官、JavaScript spec 编辑在内的 8000 多名 JS 社区成

2023-08-07

Socket 紧接着宣布新增了对 Go 语言的支持;此前其仅支持 JavaScript 和 Python 语言。 “在过去的几个月中,我们观察到针对 Golang 的供应链攻击有所增加。意识到这种迫在眉睫的威胁后,我们知道是时候将 Socket 已经验证的主动式

2024-07-25

问题就波及一大片。”齐向东说。 其次,中国政企机构使用的终端安全软件与普通民众使用的电脑安全软件是完全分开的,其升级更新和维护策略也完全不同。而在美国,民用和政企使用的安全软件都是基于同一种云端更新策

2022-11-25

兼 Automattic CEO Matt Mullenweg 看到后顺势邀请 Laurie Voss 考虑使用 Tumblr,并回复道,公司旗下的 Tumblr 服务即将添加对 ActivityPub 协议的支持,以实现 Tumblr 与 Mastodon 的“互连”。 ActivityPub 是开源、去中心化的社交网络协议,目前

2023-03-07

正常。 2023 年 3 月 5 日晚 20:20 左右,许多网友表示在使用 B 站时,手机和电脑端都无法访问视频详情页,且手机端无法查看收藏夹与历史记录。 还有网友表示,首页能够正常加载,但全部是繁体字。 B 站上一次大规模

2024-08-22

2 点半左右,大量网友反馈「网易云音乐」App 无法正常使用,与此同时网页端也出现 502 Bad Gateway 报错信息。 随后“网易云音乐崩了”词条迅速登顶微博热搜。 对于如此大面积的故障,网上很快出现了各种猜测事故原因

2023-04-24

企业邮箱字段 #2856 增加获取应用二维码的接口;增加使用 AppSecret 重置第三方平台 API 调用次数的接口 #2858 优化会话存档获取媒体数据的接口 #2865 第三方应用增加ID转换接口 #2873 模板卡片消息支持左图右文样

2022-09-06

pnpm 是一个快速、节省磁盘空间的软件包管理器。它使用一个内容可寻址的文件系统来存储磁盘上所有模块目录的所有文件。当使用 npm 或 Yarn 时,如果你有 100 个使用 lodash 的项目,你将在磁盘上有 100 份 lodash 的拷贝,而使用 pn