近日,微软和北卡州立大学的研究人员在进行一个学术研究项目时发现,成千上万的 JavaScript 开发者正在使用域名过期的邮箱作为他们的npm(Node Package Manager)账户,npm是最大的软件包仓库,这导致诸多开发者的项目很容易被劫持。

2818个账户使用过期域名,涉及8494 个包

据悉,此项研究项目最早在去年进行,研究人员分析了上传到npm包管理器上的 1,630,101 个库的元数据。其中,研究人员发现有 2818 个项目维护者的账户仍在使用域名过期的电子邮件地址,而部分过期的域名正在 GoDaddy 等域名售卖网站出售。

研究人员认为,攻击者可购买相关的域名,从而在电子邮件服务器上注册这些维护者的地址,然后重置维护者的账户密码接管npm包。

此外,由于npm社区不会对账户所有者强制执行双重身份验证(2FA),这意味着一旦有心之人在购买过期的域名之后,重置所有者的密码,他们就可以自由地更改软件包。

研究团队在进一步调研之后表示,2818 个维护者账户管理共计8494 个包,其中平均有 2.43 个直接依赖项,这表明任何攻击也会影响数以万计的其他下游项目。

npm 团队最新措施

在发现这一问题的第一时间,研究团队表示已经将最新的发现反馈给了npm安全团队。

npm团队也在 2021 年 12 月 7 日对外更新了其对 npm 生态系统安全的承诺,并宣布计划分阶段为 npm 维护者账号强制执行 2FA 验证。

即当维护者通过 npmjs.com 网站或 npm CLI 进行身份验证时,将收到一封带有一次性密码 (OTP) 的电子邮件。基于此,用户登录除了用户密码之外,还需要提供此电子邮件 OTP,这有助于防止常见的账户接管攻击等。

快检查你的域名是否过期了?如果是,建议赶快采取行动,相应地避免被攻击的风险。

详情见:https://github.blog/2021-12-07-enrolling-npm-publishers-enhanced-login-verification-two-factor-authentication-enforcement/

数千 npm 账号使用域名过期的邮箱,涉及 8494 个包相关推荐

  1. 深圳数千司机账号突然被封 滴滴出行称审核异常信息

    IDC评述网(idcps.com)05月06日报道:昨日深圳数千名滴滴司机账号突然遭到封停,滴滴方面解释是例行整治,重新审核异常信息. 前几天深圳女教师搭乘滴滴顺风车被劫杀,暴露出的安全漏洞引发公众关 ...

  2. 域名过期了,但是备案信息还是我的,网站被人举报涉黄怎么办?

    一.名下闲置域名被举报涉黄 2020年12月3日,宁静祥和的下午,正在按部就班地敲着代码,突然被一通电话打乱了思绪. 电话里说是XX市委网信办的,说我名下有个域名 ws65535.xyz 被人举报包含 ...

  3. 苹果加密技术真安全吗?一男子入侵数千个iCloud账号获取女性裸照

    作者 | Michael Finnegan 整理 | 祝涛 出品 | CSDN(ID:CSDNnews) 联邦当局称,洛杉矶一名男子侵入了数千个苹果iCloud账户,非法获取了62万多张私人照片和视频 ...

  4. 数千个加拿大政府账号被黑

     聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 上周六,加拿大当局表示,最近加拿大多个政府在线服务的数千个用户账户被黑. 加拿大财政部秘书处表示,这些攻击活动针对的是 GCKey 服 ...

  5. 网站域名过期后还能买回来吗?

    好域名是企业实力的象征,域名等于企业网络商标.怀米网建议企业要及时续费域名,不要等到域名过期才续费.尤其是很多老域名,已经用了很多年了,户认可了搜索引擎认可了,不续费实在太浪费.下面小编就和大家介绍一 ...

  6. 持续集成商 Travis CI 爆严重漏洞,数千开源项目机密或被盗

     聚焦源代码安全,网罗国内外最新资讯! 专栏·供应链安全 数字化时代,软件无处不在.软件如同社会中的"虚拟人",已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为 ...

  7. 域名过期会怎么样?域名可以永久持有吗?

    大家在注册域名时有没有发现,域名最长注册时间只有10年,这也意味着你持有域名的最长时间也就只有10年.注册域名后需要不断的续费,这样你才能一直拥有这个域名,一旦没有及时续费,那么这个域名就会被别人抢注 ...

  8. 域名过期 脚本_域名宝已过期! …还是垃圾?

    域名过期 脚本 An expired domain name is a lot like a used car. You can't really be sure who owned it and w ...

  9. 银行木马卷土重来、开发者破坏开源库影响数千应用程序|1月10日全球网络安全热点

    安全资讯报告 银行木马Flubot Android恶意软件卷土重来 FluBot是一种适用于Android的银行恶意软件,它通过向全球多家银行提供覆盖登录表单来窃取密码.新的攻击假冒Adobe应用程序 ...

最新文章

  1. 两个程序员的泰国普吉岛之行
  2. python本地文件上传到网页_如何将文件上传到pythonweb服务器?
  3. 1024,千家公司程序员幸福指数大比拼!最“幸福”的程序员是你吗?
  4. Tomcat服务器 Varnish代理服务器
  5. linux is not unix由来,一些奇怪的 unix 指令名字的由来
  6. CRM呼叫中心inbox的调试步骤
  7. [Java网络编程基础]端口,协议
  8. 噪音曲线图测试软件,利用示波器统计工具分析有噪声信号之测量统计和余晖图...
  9. C++学习之路 | PTA乙级—— 1020 月饼 (25分)(带注释)(精简)
  10. 2.6宽带接入技术ADSL
  11. Linux命令速查手册出炉!
  12. 工业机器人什么情况下会出现奇点_功夫机器人周全:复合作业机器人规模应用的奇点有多远?...
  13. windows7内存诊断工具有用吗_性能诊断利器 JProfiler 快速入门和实践
  14. PHP搭建服务器的代码
  15. 考研数据结构--排序汇总(自用)
  16. 朗途职业规划之一 职业发展报告 (北森测评)
  17. http keepalive原理
  18. UIControl IOS控件编程—IOS开发
  19. codeforces [Gym-100814E]
  20. 【新手必看】C语言开发环境,请查收!

热门文章

  1. layui+croppers完成图片剪切上传
  2. 跑步听歌用哪种耳机更好?精挑五款适合跑步听歌的耳机分享
  3. 虹科喜报 | 虹科技术工程师【国内首批】拿下Redis认证开发者证书!
  4. android平板电脑怎么才能连接电脑,平板连接电脑没反应怎么办 平板怎样连接电脑...
  5. 17 个 JVM 参数
  6. 微信域名防封、域名检测接口api、域名跳转技术、360防拦截揭秘(三)------2020新域名防封技术解析
  7. 批量提取Word中的图片
  8. 记录大疆研发管理岗初面
  9. 2022-2028年全球与中国救生艇行业市场前瞻与投资战略规划分析
  10. ubuntu 检测网络状态命令