数千 npm 账号使用域名过期的邮箱,涉及 8494 个包
近日,微软和北卡州立大学的研究人员在进行一个学术研究项目时发现,成千上万的 JavaScript 开发者正在使用域名过期的邮箱作为他们的npm(Node Package Manager)账户,npm是最大的软件包仓库,这导致诸多开发者的项目很容易被劫持。
2818个账户使用过期域名,涉及8494 个包
据悉,此项研究项目最早在去年进行,研究人员分析了上传到npm包管理器上的 1,630,101 个库的元数据。其中,研究人员发现有 2818 个项目维护者的账户仍在使用域名过期的电子邮件地址,而部分过期的域名正在 GoDaddy 等域名售卖网站出售。
研究人员认为,攻击者可购买相关的域名,从而在电子邮件服务器上注册这些维护者的地址,然后重置维护者的账户密码接管npm包。
此外,由于npm社区不会对账户所有者强制执行双重身份验证(2FA),这意味着一旦有心之人在购买过期的域名之后,重置所有者的密码,他们就可以自由地更改软件包。
研究团队在进一步调研之后表示,2818 个维护者账户管理共计8494 个包,其中平均有 2.43 个直接依赖项,这表明任何攻击也会影响数以万计的其他下游项目。
npm 团队最新措施
在发现这一问题的第一时间,研究团队表示已经将最新的发现反馈给了npm安全团队。
npm团队也在 2021 年 12 月 7 日对外更新了其对 npm 生态系统安全的承诺,并宣布计划分阶段为 npm 维护者账号强制执行 2FA 验证。
即当维护者通过 npmjs.com 网站或 npm CLI 进行身份验证时,将收到一封带有一次性密码 (OTP) 的电子邮件。基于此,用户登录除了用户密码之外,还需要提供此电子邮件 OTP,这有助于防止常见的账户接管攻击等。
快检查你的域名是否过期了?如果是,建议赶快采取行动,相应地避免被攻击的风险。
数千 npm 账号使用域名过期的邮箱,涉及 8494 个包相关推荐
- 深圳数千司机账号突然被封 滴滴出行称审核异常信息
IDC评述网(idcps.com)05月06日报道:昨日深圳数千名滴滴司机账号突然遭到封停,滴滴方面解释是例行整治,重新审核异常信息. 前几天深圳女教师搭乘滴滴顺风车被劫杀,暴露出的安全漏洞引发公众关 ...
- 域名过期了,但是备案信息还是我的,网站被人举报涉黄怎么办?
一.名下闲置域名被举报涉黄 2020年12月3日,宁静祥和的下午,正在按部就班地敲着代码,突然被一通电话打乱了思绪. 电话里说是XX市委网信办的,说我名下有个域名 ws65535.xyz 被人举报包含 ...
- 苹果加密技术真安全吗?一男子入侵数千个iCloud账号获取女性裸照
作者 | Michael Finnegan 整理 | 祝涛 出品 | CSDN(ID:CSDNnews) 联邦当局称,洛杉矶一名男子侵入了数千个苹果iCloud账户,非法获取了62万多张私人照片和视频 ...
- 数千个加拿大政府账号被黑
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 上周六,加拿大当局表示,最近加拿大多个政府在线服务的数千个用户账户被黑. 加拿大财政部秘书处表示,这些攻击活动针对的是 GCKey 服 ...
- 网站域名过期后还能买回来吗?
好域名是企业实力的象征,域名等于企业网络商标.怀米网建议企业要及时续费域名,不要等到域名过期才续费.尤其是很多老域名,已经用了很多年了,户认可了搜索引擎认可了,不续费实在太浪费.下面小编就和大家介绍一 ...
- 持续集成商 Travis CI 爆严重漏洞,数千开源项目机密或被盗
聚焦源代码安全,网罗国内外最新资讯! 专栏·供应链安全 数字化时代,软件无处不在.软件如同社会中的"虚拟人",已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为 ...
- 域名过期会怎么样?域名可以永久持有吗?
大家在注册域名时有没有发现,域名最长注册时间只有10年,这也意味着你持有域名的最长时间也就只有10年.注册域名后需要不断的续费,这样你才能一直拥有这个域名,一旦没有及时续费,那么这个域名就会被别人抢注 ...
- 域名过期 脚本_域名宝已过期! …还是垃圾?
域名过期 脚本 An expired domain name is a lot like a used car. You can't really be sure who owned it and w ...
- 银行木马卷土重来、开发者破坏开源库影响数千应用程序|1月10日全球网络安全热点
安全资讯报告 银行木马Flubot Android恶意软件卷土重来 FluBot是一种适用于Android的银行恶意软件,它通过向全球多家银行提供覆盖登录表单来窃取密码.新的攻击假冒Adobe应用程序 ...
最新文章
- 两个程序员的泰国普吉岛之行
- python本地文件上传到网页_如何将文件上传到pythonweb服务器?
- 1024,千家公司程序员幸福指数大比拼!最“幸福”的程序员是你吗?
- Tomcat服务器 Varnish代理服务器
- linux is not unix由来,一些奇怪的 unix 指令名字的由来
- CRM呼叫中心inbox的调试步骤
- [Java网络编程基础]端口,协议
- 噪音曲线图测试软件,利用示波器统计工具分析有噪声信号之测量统计和余晖图...
- C++学习之路 | PTA乙级—— 1020 月饼 (25分)(带注释)(精简)
- 2.6宽带接入技术ADSL
- Linux命令速查手册出炉!
- 工业机器人什么情况下会出现奇点_功夫机器人周全:复合作业机器人规模应用的奇点有多远?...
- windows7内存诊断工具有用吗_性能诊断利器 JProfiler 快速入门和实践
- PHP搭建服务器的代码
- 考研数据结构--排序汇总(自用)
- 朗途职业规划之一 职业发展报告 (北森测评)
- http keepalive原理
- UIControl IOS控件编程—IOS开发
- codeforces [Gym-100814E]
- 【新手必看】C语言开发环境,请查收!
热门文章
- layui+croppers完成图片剪切上传
- 跑步听歌用哪种耳机更好?精挑五款适合跑步听歌的耳机分享
- 虹科喜报 | 虹科技术工程师【国内首批】拿下Redis认证开发者证书!
- android平板电脑怎么才能连接电脑,平板连接电脑没反应怎么办 平板怎样连接电脑...
- 17 个 JVM 参数
- 微信域名防封、域名检测接口api、域名跳转技术、360防拦截揭秘(三)------2020新域名防封技术解析
- 批量提取Word中的图片
- 记录大疆研发管理岗初面
- 2022-2028年全球与中国救生艇行业市场前瞻与投资战略规划分析
- ubuntu 检测网络状态命令