微軟和北卡羅來(lái)納州立大學(xué)去年合作開(kāi)展了一個(gè)學(xué)術(shù)研究項(xiàng)目，研究人員通過(guò)分析上傳到 Node Package Manager (npm) 的大約 163 萬(wàn)個(gè)庫(kù)的元數(shù)據(jù)，發(fā)現(xiàn)數(shù)千名 JavaScript 開(kāi)發(fā)者正在使用域名過(guò)期的郵箱作為其 npm 帳戶，從而導(dǎo)致他們托管在 npm 的項(xiàng)目會(huì)輕易被劫持。

據(jù)稱，npm 上所有用戶的郵件地址都是公開(kāi)的。通過(guò)請(qǐng)求個(gè)人資料頁(yè)面即可返回郵件地址：

npm 是最大的 JavaScript 軟件包倉(cāng)庫(kù)。研究人員發(fā)現(xiàn) 2818 名項(xiàng)目維護(hù)者的帳戶仍在使用域名過(guò)期的郵箱地址，而部分過(guò)期的域名正在 GoDaddy 等網(wǎng)站上出售。因此研究人員認(rèn)為，攻擊者可通過(guò)購(gòu)買(mǎi)已過(guò)期的域名，然后在郵件服務(wù)器上重新注冊(cè)這些維護(hù)者的地址，從而實(shí)現(xiàn)重置維護(hù)者的帳戶密碼并接管 npm 軟件包。

下面的圖片展示了一名開(kāi)發(fā)者嘗試接管ajv-formats軟件包(維護(hù)者是additiveamateur)并成功“劫持”的過(guò)程：

0. 首先是獲取帳戶的注冊(cè)郵件地址：carlo[@]machina.bio

1. 購(gòu)買(mǎi)已過(guò)期的域名：machina.bio

2. 通過(guò)域名接管了帳戶的郵件地址后，嘗試重置密碼：

此步驟遭遇了一些問(wèn)題，但開(kāi)發(fā)者通過(guò)聯(lián)系技術(shù)支持得到解決：

最后成功重置了ajv-formats軟件包維護(hù)者的帳戶密碼：

登錄并成功接管項(xiàng)目：

研究人員表示，他們?cè)谘芯繄?bào)告發(fā)布前將其研究結(jié)果發(fā)送給了 npm 安全團(tuán)隊(duì)，雖然對(duì)方?jīng)]有反饋，但在研究報(bào)告正式發(fā)布前，npm 宣布了逐步為開(kāi)發(fā)者帳戶強(qiáng)制執(zhí)行 2FA(雙因素認(rèn)證)的計(jì)劃。

本文轉(zhuǎn)自O(shè)SCHINA

本文標(biāo)題：因使用域名過(guò)期郵箱，數(shù)千 npm 帳號(hào)面臨被輕易劫持風(fēng)險(xiǎn)

本文地址：https://www.oschina.net/news/182636/npm-accounts-use-email-addresses-with-expired-domains