0755-36866868
0 购物车
400
0755-36866868

域名
报告

7*24小时服务热线

0755-36866868

QQ在线咨询

域名检测报告申请 快速了解品牌域名被抢注、仿冒、钓鱼等情况

点击切换验证码

咨询

危险!数以千计的 npm 帐户在使用域名过期的电子邮件地址
发布时间:2022-02-16文章来源:行业新闻 点击次数:586次


一个学术研究项目发现,数以千计的 JavaScript 开发人员正在使用域名过期的电子邮件地址作为他们的 npm 帐户,因此他们的项目容易被劫持


这项研究由微软和北卡罗来纳州立大学的研究人员于去年进行,他们分析了上传到 Node Package Manager (npm)——JavaScript 库的实际存储库和互联网上最大的包存储库上的 1,630,101 个库的元数据

 

研究发现 2,818 名项目维护者仍在使用其帐户的电子邮件地址,这些帐户的域名已过期,其中一些在海域网(1198.cn等网站上出售。

 

该团队认为,攻击者可以购买这些域名,在他们自己的电子邮件服务器上重新注册维护者的地址,然后重置维护者的帐户密码并接管他的 npm 因此这些开发者面临账户劫持

 

因为 npm 门户不会对帐户所有者强制执行双重身份验证 (2FA)所以像这样的攻击会起作用,这意味着一旦攻击者重置所有者的密码,他们就可以自由地更改具有任何其他障碍的软件包。

 

研究团队表示,总共 2,818 个维护者帐户管理 8,494 个包,其中平均有 2.43 个直接依赖项,这表明任何攻击也会打击数以万计的其他下游项目。

 

帐户所有者可能会发现此类帐户劫持,但研究人员还指出,许多 npm 库和帐户要么未维护(58.7%)要么被遗弃(44.3%),攻击者很有可能能够在维护者甚至没有注意到的情况下进行攻击。