Skip to content
WONGCW 網誌
  • 首頁
  • 論壇
  • 微博
  • 壁紙下載
  • 免費圖床
  • 視頻下載
  • 聊天室
  • SEO工具
  • 支援中心
  • 表格製作
  • More
    • 在線名片
    • 網頁搜索
    • 天氣預報
    • 二維碼生成器
  • Search Icon

WONGCW 網誌

記錄生活經驗與點滴

數千開發者的npm賬戶在使用域名已過期的電子郵件地址

數千開發者的npm賬戶在使用域名已過期的電子郵件地址

2022-02-15 Comments 0 Comment

去年,微軟和北卡羅萊納州立大學的研究人員,分析了上傳到npm 上的1630101 個庫的元數據。結果發現,數以千計的JavaScript 開發者賬戶,正在使用域名已過期的電子郵件地址,意味著他們的項目很容易被劫持。在2818 名項目維護者使用的電子郵件地址中,某些已過期的域名已掛在GoDaddy 等網站上待售。

NPM 是“節點包管理器”(Node Package Manager)的縮寫

研究人員指出,別有用心的攻擊者可購買這些域名,在其電子郵件服務器上重新註冊維護者的地址,然後重置維護者的賬戶密碼、以接管受害者的npm 包。

這類攻擊得逞的隱患很大,因為npm 門戶不會對賬戶所有者強制執行2FA 雙因素身份驗證。意味著一旦被攻擊者重置密碼,他們就可肆意篡改相關軟件包。

共計2818 個維護者賬戶在管理8494 個包,其中平均有2.43 個直接依賴項,表明特定攻擊可波及數以萬計的其它下游項目。

所有者可能會覺察到其賬戶被劫持,但考慮到許多npm 庫和賬戶要么長期被冷落(高達58.7% 未得到維護)、要么就是已被遺棄(44.3%),情況並不容樂觀。

研究團隊將它們的發現通報給了npm 安全團隊,但並未說明對方給出了怎樣的回應。

截止The Record 發稿時,發給npm 上屬的GitHub 的電子郵件,暫未看到退件回執。

慶幸的是,在研究結果於2021 年12 月發布的前幾天,npm 已宣布一項新計劃,聲稱要逐漸讓開發者賬戶強制執行雙因素身份驗證。

該過程將分多個階段進行,且本月初註冊的前百名維護者賬戶都已落實2FA 方案。欲知詳情,還請翻閱《npm 供應鏈中的薄弱環節》一文。

以下是研究團隊的一些其它發現:

● 33249 個軟件包(2.2%)使用了安裝腳本,或被濫用於執行惡意命令、且違反npm 的最佳安全實踐。

● 排名前1% 的軟件包(14941 個),平均有32.4 名維護者—— 這為針對不活躍/ 疏於照顧的開發者賬戶進行的攻擊敞開了大門。

● 389 個軟件包,平均有40 名貢獻者—— 這為意外植入的安全漏洞、或讓項目充斥潛在惡意代碼而留下了隱患。

● 前1% 維護者,平均管理著180.3 個軟件包;而直接依賴的包數量,平均為4010 個—— 意味著某些開發者可能可能過勞,或沒有太多精力來徹底維護或審查軟件包的變更。

分享此文:

  • 按一下即可分享至 X(在新視窗中開啟) X
  • 按一下以分享至 Facebook(在新視窗中開啟) Facebook
  • 分享到 WhatsApp(在新視窗中開啟) WhatsApp
  • 按一下以分享到 Telegram(在新視窗中開啟) Telegram
  • 分享到 Pinterest(在新視窗中開啟) Pinterest
  • 分享到 Reddit(在新視窗中開啟) Reddit
  • 按一下即可以電子郵件傳送連結給朋友(在新視窗中開啟) 電子郵件
  • 點這裡列印(在新視窗中開啟) 列印

相關


網絡資訊

Post navigation

PREVIOUS
驍龍8+天璣9000雙版本OPPO Find X5系列現身跑分網站
NEXT
攜程梁建章:希望混合辦公成標配員工有更多時間陪家人

發表迴響取消回覆

這個網站採用 Akismet 服務減少垃圾留言。進一步了解 Akismet 如何處理網站訪客的留言資料。

More results...

Generic filters
Exact matches only
Search in title
Search in content
Search in excerpt
Filter by 分類
網站公告
Featured
赫思醫美
限時免費
Windows 軟件下載
系統軟件
辦公軟件
圖像處理
影音媒體
網絡軟件
應用軟件
Mac 軟件下載
安卓軟件下載
網絡資訊
Mac資訊
Linux資訊
VPS資訊
NASA資訊
WordPress資訊
WeChat資訊
PHP資訊
教學資源
開源程序
網頁工具
SEO工具
醫療健康
其他資訊
Content from
Content to
2022 年 2 月
一 二 三 四 五 六 日
 123456
78910111213
14151617181920
21222324252627
28  
« 1 月   3 月 »

分類

  • 網站公告
  • 赫思醫美
  • 限時免費
  • Windows 軟件下載
  • 系統軟件
  • 辦公軟件
  • 圖像處理
  • 影音媒體
  • 網絡軟件
  • 應用軟件
  • Mac 軟件下載
  • 安卓軟件下載
  • 網絡資訊
  • Mac資訊
  • Linux資訊
  • VPS資訊
  • NASA資訊
  • WordPress資訊
  • WeChat資訊
  • PHP資訊
  • 教學資源
  • 開源程序
  • 網頁工具
  • SEO工具
  • 醫療健康
  • 其他資訊

彙整

近期文章

  • 暑假矯正季,讓笑容更閃亮! 2025-07-18
  • 告別鬆弛皺紋!熱瑪姬的『射頻技術』如何打造凍齡肌膚? 2025-07-18
  • Firefox新版本將支援Chrome已有多年的WebGPU功能 2025-07-17
  • 彩虹正式上架統信UOS 直接運行Windows應用 2025-07-17
  • 美團高層承諾:將保證美團騎士收入永遠站穩藍領第一梯隊 2025-07-17
  • 科尼賽克CEO直言:電動超跑沒有靈魂我們不造 2025-07-17
  • HTC預告VIVE神秘新品或為首款智慧眼鏡 2025-07-17
  • 據傳PS5 Pro將在明年5月進行性能升級推測為《GTA6》做準備 2025-07-17
  • 德國玩家偏愛A卡銷量佔65%超NV:RX9070XT賣最好 2025-07-17
  • 三星和SK海力士因意外需求推遲DDR4記憶體淘汰計劃 2025-07-17

熱門文章與頁面︰

  • 無3C行動電源禁止登機一文看懂到底什麼是3C認證、如何分辨真偽
  • Autodesk AutoCAD 2020.1 正式版-簡體中文/繁體中文/英文
  • 您可以在Windows 11 24H2 中找回WordPad
  • 告別鬆弛皺紋!熱瑪姬的『射頻技術』如何打造凍齡肌膚?
  • 一鍵GHOST v2020.07.20 正式版-硬盤版/光盤版/優盤版/軟盤版
  • 上海兩大機場直通地鐵虹橋到浦東只要40分鐘全程26元
  • Windows及OFFICE激活密鑰+電話激活教程–自用
  • FF畫師天野喜孝打造巨幅佛經畫風格迷幻完美匹配
  • 馬雲現身阿里巴巴園區頭戴鴨舌帽手拿咖啡氣色不錯
  • 思恩時代開業福利

投遞稿件

歡迎各界人士投遞稿件到admin@wongcw.com

請提供以下資料:

1.你的名字

2.你的電郵

3.分類目錄

4.文章標題

5.文章摘要

6.文章內容

7.文章來源

 

聯繫我們

查詢,投稿,商務合作:
​admin@wongcw.com
​技術支援:
​support@wongcw.com
​客户服務:
​cs@wongcw.com

QQ群:833641851

赫思醫美

快帆

MALUS

極度掃描

DMCA.com Protection Status

WONGCW 網誌

  • 免責聲明
  • 捐助我們
  • ThemeNcode PDF Viewer
  • ThemeNcode PDF Viewer SC
  • Events

服務器提供

本站使用之服務器由ikoula提供。

聯繫我們

查詢,投稿,商務合作:
​admin@wongcw.com
​技術支援:
​support@wongcw.com
​客户服務:
​cs@wongcw.com

QQ群:833641851

© 2025   All Rights Reserved.