JavaScript工具套件出版商ESLint週四(7/12)透露,黑客盜用了該套件維護人員的npm帳號,並上傳了含有惡意程序的版本,以竊取其它用戶的npm憑證,在短短的幾小時內,即有4,500個帳號的存取令牌(access token)遭竊,為了避免災情擴大,npm撤消了所有在昨天以前建立的存取令牌。
npm的全名為Node Package Manager,是Node.js預設的軟件套件管理系統,而ESLint則是JavaScript套件供應商,主要出版JavaScript程序分析工具。
意外的發生來自於ESLint的一名套件維護人員重複使用了已外洩的電子郵件及密碼作為npm帳號的憑證,而且未啟用雙因素驗證,使得黑客輕易地就登入了該名工程師的npm帳號,建立新的npm存取令牌,並於npm上出版含有惡意程序的[email protected]與[email protected]。
一旦安裝了上述任一個版本,惡意程序即會自pastebin.com下載與執行一個可將用戶的.npmrc檔案傳送給黑客的功能,該檔案通常含有npm的存取令牌。
儘管這兩個偽造檔案從上傳到被下架的時間不到3個小時,但根據npm的估計,已有約4,500個帳號的存取令牌遭竊。
為了防範災情曼延或造成連鎖效應,npm撤消了在昨天以前所建立的所有存取令牌,也呼籲npm的註冊用戶必須重新取得npmjs.com的驗證與產生新的存取令牌。
ESLint則奉勸所有的npm套件維護人員都應避免使用重複的憑證,最好啟用npm的雙因素驗證機制,以及限制有權在npm出版套件的人數,另也建議應用程序開發人員應該利用工具來鉗制新套件的自動安裝能力。
閱讀更多 數碼小強 的文章
關鍵字: 黑客 套件 JavaScript
