域名
报告
咨询
一个学术研究项目发现,数以千计的 JavaScript 开发人员正在使用域名过期的电子邮件地址作为他们的 npm 帐户,因此他们的项目容易被劫持。
这项研究由微软和北卡罗来纳州立大学的研究人员于去年进行,他们分析了上传到 Node Package Manager (npm)——JavaScript 库的实际存储库和互联网上最大的包存储库上的 1,630,101 个库的元数据。
研究发现 2,818 名项目维护者仍在使用其帐户的电子邮件地址,这些帐户的域名已过期,其中一些在海域网(1198.cn)等网站上出售。
该团队认为,攻击者可以购买这些域名,在他们自己的电子邮件服务器上重新注册维护者的地址,然后重置维护者的帐户密码并接管他的 npm 包,因此这些开发者面临着账户劫持。
因为 npm 门户不会对帐户所有者强制执行双重身份验证 (2FA),所以像这样的攻击会起作用,这意味着一旦攻击者重置所有者的密码,他们就可以自由地更改具有任何其他障碍的软件包。
研究团队表示,总共 2,818 个维护者帐户管理 8,494 个包,其中平均有 2.43 个直接依赖项,这表明任何攻击也会打击数以万计的其他下游项目。
帐户所有者可能会发现此类帐户劫持,但研究人员还指出,许多 npm 库和帐户要么未维护(58.7%)要么被遗弃(44.3%),攻击者很有可能能够在维护者甚至没有注意到的情况下进行攻击。
[上一篇] 加密货币的下一件大事——拥有自己的域名