数以千计的npm账户因使用域名过期邮箱库元数据而面临被轻易劫持的风险,发现数以千计的JavaScript开发者正在使用域名过期的邮箱地址作为npm账户,使得他们的项目很容易托管在npm上劫持。据称,npm上所有用户的电子邮件地址都是公开的。通过请求个人资料页面返回电子邮件地址:npm是最大的JavaScript包存储库。研究人员发现,2818个项目维护者账户仍在使用过期域名的电子邮件地址,其中一些过期域名正在GoDaddy等网站上出售。因此,研究人员认为,攻击者可以通过购买过期域名,然后在邮件服务器上重新注册维护者地址的方式,重置维护者账号密码,接管npm包。下图是一个开发者试图接管ajv-formats包(维护者是additiveamateur)并成功“劫持”了这个过程:0.首先是得到了账户的注册邮箱:carlo[@]machina.bio1.购买过期域名:machina.bio2.通过域名接管账户邮箱后,尝试重置密码:这一步遇到了一些问题,开发者联系技术支持解决了:终于成功重置了ajv-formats软件包维护者的账号密码:登录并成功接管了项目:研究人员表示他们在研究报告发布之前将他们的发现发送给了npm安全团队,而对方没有任何反馈,npm在研究报告正式发布前宣布了一项逐步对开发者账户强制执行2FA(双因素认证)的计划。本文转自OSCHINA文章标题:千个npm账号因使用域名过期邮箱面临被轻易劫持风险:https://www.oschina.net/news/182636/npm-accounts-use-email-addresses-with-expired-domains
