solidot新版网站常见问题,请点击这里查看。
消息
本文已被查看 3565 次
数千 NPM 账号使用域名过期的邮箱
微软和北卡州立大学的研究人员发现,数千名 JS 开发者使用了域名过期的邮箱,这将使得他们在 NPM(Node Package Manager) 上的项目很容易被劫持。研究人员分析了上传到 NPM 包管理器上的 1,630,101 个库的元数据。NPM 是最大的软件包仓库。研究人员发现有 2818 个项目维护者的账户仍在使用域名过期的电邮地址,而部分过期的域名正在 GoDaddy 等网站出售。研究人员认为,攻击者可购买相关域名,在电邮服务器上注册这些维护者的地址,然后重置维护者的账户密码接管 NPM 包。