ESLint的NPM账户遭黑客攻击,可能窃取用户NPM访问令牌
7月12日,黑客攻击了ESLint维护者的NPM帐户,并将带有病毒的eslint-scope和eslint-config-eslint软件包发布到NPM注册表中。带有恶意病毒的软件包在安装时,计算机会自动下载并执行pastebin.com代码,然后将含有NPM访问令牌的.npmrc文件内容发送给攻击者。
\\
事件的起因是由于帐户遭到入侵的维护者在其他几个网站上设置的密码和npm上的一样,并且没有在他们的npm帐户上启用双重身份验证。
\\
对此,ESLint团队表示:
\\
\
我们对此表示遗憾,我们希望其他软件包维护者可以从我们的错误中吸取教训并提高整个npm生态系统的安全性。
\
\\
恶意程序包包含在eslint-scope@3.7.2和eslint-config-eslint@5.0.2中,目前,它们都已经从npm中被移除出去了,pastebin.com在这些包中的链接也已被删除。
\\
npm也已撤销在2018-07-12 12:30 UTC之前发出的所有访问令牌。因此,受此攻击影响的所有访问令牌都不再可用。
\\
受影响的包
\\
- \\t
eslint-scope@3.7,是几个流行包的依赖项,包括一些旧版本的eslint和最新版本的babel-eslint和webpack。
\\t\\t
- \\t
eslint-config-eslint@5.0 是ESLint团队内部使用的配置,在其他地方使用很少。
\\t\
据报道,受损版本是eslint-scope 3.7.2,是昨天发布的版本。3.7.1和4.0.0是安全的。如果你昨天已完成npm安装,请重置你的NPM令牌并再次安装npm。如果你使用了eslint-scope 3.7.2、ESLint 4或任何版本的Babel-ESLint(尚未更新到4.0.0),则会受到影响。
\\
如果你运行自己的npm注册表,则应删除带有恶意病毒的软件包,它们在npmjs.com注册表中已经被删除了。
\\
攻击方式:https://gist.github.com/hzoo/51cb84afdc50b14bffa6c6dc49826b3e
\\
官方建议
\\
- \\t
软件包维护者和用户应避免在多个不同的站点上重复使用相同的密码,1Password或LastPass这样的密码管理器可以帮助解决这个问题。
\\t\\t
- \\t
包维护者应该启用npm双重身份验证,可参照npm上的指南(https://docs.npmjs.com/getting-started/using-two-factor-authentication)。
\\t\\t
- \\t
如果你使用Lerna,则可以按此操作(https://github.com/lerna/lerna/issues/1091)。
\\t\\t
- \\t
软件包维护者应审核并限制有权在npm上发布的人数。
\\t\\t
- \\t
软件包维护者应注意使用任何自动合并依赖项的升级服务。
\\t\\t
- \\t
应用程序开发人员应使用 lockfile(package-lock.json或yarn.lock)来阻止自动安装新软件包。
\\t\
时间线
\\
- \\t
事件发生之前:攻击者可能在第三方攻击中发现维护者重复使用的电子邮件和密码,并使用它们登录维护者的npm帐户。
\\t\\t
- \\t
2018年7月12日凌晨:攻击者在维护者的npm帐户中生成了一个身份验证令牌。
\\t\\t
- \\t
2018-07-12 9:49 UTC:攻击者使用生成的身份验证令牌发布eslint-config-eslint@5.0.2,其中包含泄露本地计算机.npmrc身份验证令牌的恶意脚本postinstall。
\\t\\t
- \\t
2018-07-12 10:25 UTC:攻击者删除eslint-config-eslint@5.0.2。
\\t\\t
- \\t
2018-07-12 10:40 UTC:攻击者发布eslint-scope@3.7.2,其中包含相同的恶意postinstall脚本。
\\t\\t
- \\t
2018-07-12 11:17 UTC:用户发布了eslint / eslint-scope#39(https://github.com/eslint/eslint-scope/issues/39),通知ESLint团队出现此问题。
\\t\\t
- \\t
2018-07-12 12:27 UTC:包含恶意代码的pastebin.com链接被删除。
\\t\\t
- \\t
2018-07-12 12:37 UTC:npm团队在与ESLint维护人员联系后将eslint-scope@3.7.2删除。
\\t\\t
- \\t
2018-07-12 17:41 UTC:ESLint团队发布eslint-scope@3.7.3和eslint-scope@3.7.1的代码,以便缓存可以获取新版本。
\\t\\t
- \\t
2018-07-12 18:42 UTC:npm撤销了在2018-07-12 12:30 UTC之前生成的所有访问令牌。
\\t\
相关链接
\\
原始报告:https://github.com/eslint/eslint-scope/issues/39
\\
npm报告:https://status.npmjs.org/incidents/dn7c1fgrr7ng
ESLint的NPM账户遭黑客攻击,可能窃取用户NPM访问令牌相关推荐
- 华尔街日报遭黑客攻击 数千用户信息或泄露
今日早间消息,道琼斯公司周五披露,有未经授权的黑客入侵了该公司的系统,获取了当前和以往订阅用户的联系方式,并有可能发送欺诈消息. 道琼斯表示,在此次数据泄露事故中,有不到3500名用户的支付卡信息泄露 ...
- 比特币 源代码_GitHub遭黑客攻击:窃取数百源码并勒索比特币,数量惊人!
日前,就在五一假期的最后一天,一名黑客入侵了GitHub 392个代码存储库,删除了所有源代码和最近提交的内容,并留下了支持0.1比特币(约人民币3838元)的赎金票据. 我去!惊呆世人啊!0.1个比 ...
- GitHub 遭黑客攻击勒索;苹果夸大 iPhone 电池续航时间;全球第二大暗网被摧毁 | 极客头条...
快来收听极客头条音频版吧,智能播报由标贝科技提供技术支持. 「CSDN 极客头条」,是从 CSDN 网站延伸至官方微信公众号的特别栏目,专注于一天业界事报道.风里雨里,我们将每天为朋友们,播报最新鲜有 ...
- P2P网贷易遭黑客攻击
本文讲的是 P2P网贷易遭黑客攻击,P2P网贷的超高利率并不是那些缺乏现金的借款人唯一担心的事情,这些大批新兴的互联网金融网站也吸引了网络罪犯的注意.他们盯上了用户的账户信息,并将这些信息用于盗取存款 ...
- 乌克兰电网遭黑客攻击事件之Black Energy深入剖析,从技术角度看待这一事件。
事件回顾: 2016年1月6日,据英国<金融时报>报道,上周乌克兰电网系统遭黑客攻击,数百户家庭供电被迫中断,这是有史以来首次导致停电的网络攻击,此次针对工控系统的攻击无疑具有里程碑意义, ...
- 尤金·卡巴斯基:卡巴斯基实验室调查内网遭黑客攻击事件
猫宁!!! 尤金·卡巴斯基介绍: 尤金·卡巴斯基出生于黑海沿岸的新罗西斯克,父亲担任工程师,母亲是书库管理员.母亲常买许多数学杂志供其阅读.他在16岁就跳级进入密码.电信与计算机科学学院就读,从198 ...
- 泰国80亿互联网记录数据库泄漏,疑遭黑客攻击
泰国最大的蜂窝网络AIS已使数据库脱机,疑遭黑客攻击,这使达80亿实时互联网记录泄漏到数百万泰国互联网用户上,该事件震惊整个泰国. 全球著名白帽黑客.东方联盟创始人郭盛华博客文章中说,他在互联网上没有 ...
- 育碧遭黑客攻击:用户账号被窃
本文讲的是 : 育碧遭黑客攻击:用户账号被窃 , [IT168 导购] 育碧公司LOGO 7月6日凌晨消息,旧金山游戏公司育碧周二宣布,该公司网站已被未知黑客攻破,一部分用户账号被窃取,但并未透 ...
- 懒人日报 | 日本东京将进行区域专用型数字货币的实用试验、蚂蚁区块链涉足冷链物流、eos竞猜游戏FASTWIN遭黑客攻击......
海外动态 [日本社交媒体巨头Line子公司正式获批加密货币交易许可] 9月6日,日本社交媒体巨头Line旗下加密货币子公司LVC正式通过日本金融厅审批,获得第00017号加密货币交易许可证,将提供B ...
最新文章
- Microsoft Dynamics CRM 2013 试用之系统篇 正式安装 Microsoft Dynamics CRM Server 2013
- 网络攻击与防御技术第三次实验
- java动态字段排序_JAVA 列表动态增加字段显示和任意字段排序
- CSS 选择器优先级
- 计算机硬件的发展经历,计算机的发展史及硬件组成,零基础小白入门科普
- java如何关闭creo,creo怎么把网页关掉
- 《电子基础与维修工具核心教程》——第2章 电阻2.1 电阻器介绍
- 解决“应用程序无法启动,因为应用程序的并行配置不正确“问题
- 分享几个找论文参考文献的网站
- 用PPT作数模论文图片的方法与技巧
- 周杰伦新歌《Mojito》歌词
- labview事件结构的使用
- 坐标系标定与位姿估计(旋转矩阵)
- 产品设计思维导图模板
- C语言 输入月份,输出该月有多少天(假设不考虑闰年的情况下)。
- 骨传导原理是什么,佩戴骨传导耳机的过程中对于耳道有无损害
- kingscada连接mysql_KingSCADA初级教程 第八章 及数据库连接.doc
- 虾皮如何做好海外仓管理-扬帆际海
- 运营商路由器简史:越过金门大桥,华为如何搭建金字塔顶端的管道
- HashSet源码分析 1
热门文章
- “智慧城市”建设中的金融力量
- Application runtime path /opt/lampp/htdocs/yii/test/protected/runtime is not valid. 错误
- 在Ubuntu下编译安装atom编辑器
- DIV焦点事件详解 --【focus和tabIndex】​
- jq 创建与添加节点
- Python学习笔记(2)-Python执行方式、变量
- [转]Java + TestNG + Appium 实现单机多个Android终端并发测试
- Android开发之Activity转场动画
- 软件需求管理用例方法二
- 沈阳构建智慧产业体系 大数据企业5年后将超200家