因使用域名过期邮箱,数千 npm 帐号面临被轻易劫持风险

安全 应用安全
微软和北卡罗来纳州立大学去年合作开展了一个学术研究项目,研究人员通过分析上传到 Node Package Manager (npm) 的大约 163 万个库的元数据,发现数千名 JavaScript 开发者正在使用域名过期的邮箱作为其 npm 帐户,从而导致他们托管在 npm 的项目会轻易被劫持。

微软和北卡罗来纳州立大学去年合作开展了一个学术研究项目,研究人员通过分析上传到 Node Package Manager (npm) 的大约 163 万个库的元数据,发现数千名 JavaScript 开发者正在使用域名过期的邮箱作为其 npm 帐户,从而导致他们托管在 npm 的项目会轻易被劫持。

据称,npm 上所有用户的邮件地址都是公开的。通过请求个人资料页面即可返回邮件地址:

npm 是最大的 JavaScript 软件包仓库。研究人员发现 2818 名项目维护者的帐户仍在使用域名过期的邮箱地址,而部分过期的域名正在 GoDaddy 等网站上出售。因此研究人员认为,攻击者可通过购买已过期的域名,然后在邮件服务器上重新注册这些维护者的地址,从而实现重置维护者的帐户密码并接管 npm 软件包。

下面的图片展示了一名开发者尝试接管ajv-formats软件包(维护者是additiveamateur)并成功“劫持”的过程:

0. 首先是获取帐户的注册邮件地址:carlo[@]machina.bio

1. 购买已过期的域名:machina.bio

2. 通过域名接管了帐户的邮件地址后,尝试重置密码:

此步骤遭遇了一些问题,但开发者通过联系技术支持得到解决:

最后成功重置了ajv-formats软件包维护者的帐户密码:

登录并成功接管项目:

研究人员表示,他们在研究报告发布前将其研究结果发送给了 npm 安全团队,虽然对方没有反馈,但在研究报告正式发布前,npm 宣布了逐步为开发者帐户强制执行 2FA(双因素认证)的计划。

本文转自OSCHINA

本文标题:因使用域名过期邮箱,数千 npm 帐号面临被轻易劫持风险

本文地址:https://www.oschina.net/news/182636/npm-accounts-use-email-addresses-with-expired-domains

责任编辑:未丽燕 来源: 开源中国
相关推荐

2013-07-27 20:08:24

2012-02-21 10:23:04

2019-05-24 15:35:03

2009-09-02 20:18:17

域名劫持域名安全

2015-07-21 16:34:12

高通

2021-08-06 11:24:35

域名劫持网站安全网络攻击

2022-12-29 13:32:24

2021-08-27 09:21:09

微软云服务客户数据库

2015-12-28 16:53:43

2019-12-20 13:51:30

加密劫持网络攻击漏洞

2010-09-09 13:43:36

2021-08-04 11:06:35

恶意软件黑客网络攻击

2010-09-09 20:11:39

2012-05-09 11:03:32

Twitter密码泄漏黑客

2009-03-24 22:11:52

企业多核服务器

2021-11-12 11:39:42

间谍软件网络攻击网络安全

2011-10-08 13:20:07

2011-08-26 13:23:25

2021-10-22 05:57:56

恶意软件黑客网络攻击

2020-11-20 15:18:01

替换项目代码
点赞
收藏

51CTO技术栈公众号