JavaScript工具套件出版商ESLint周四(7/12)透露,黑客盗用了该套件维护人员的npm帐号,并上传了含有恶意程序的版本,以窃取其它用户的npm凭证,在短短的几小时内,即有4,500个帐号的存取令牌(access token)遭窃,为了避免灾情扩大,npm撤消了所有在昨天以前建立的存取令牌。
npm的全名为Node Package Manager,是Node.js预设的软件套件管理系统,而ESLint则是JavaScript套件供应商,主要出版JavaScript程序分析工具。
意外的发生来自于ESLint的一名套件维护人员重复使用了已外泄的电子邮件及密码作为npm帐号的凭证,而且未启用双因素验证,使得黑客轻易地就登入了该名工程师的npm帐号,建立新的npm存取令牌,并于npm上出版含有恶意程序的[email protected]与[email protected]。
一旦安装了上述任一个版本,恶意程序即会自pastebin.com下载与执行一个可将用户的.npmrc档案传送给黑客的功能,该档案通常含有npm的存取令牌。
尽管这两个伪造档案从上传到被下架的时间不到3个小时,但根据npm的估计,已有约4,500个帐号的存取令牌遭窃。
为了防范灾情曼延或造成连锁效应,npm撤消了在昨天以前所建立的所有存取令牌,也呼吁npm的注册用户必须重新取得npmjs.com的验证与产生新的存取令牌。
ESLint则奉劝所有的npm套件维护人员都应避免使用重复的凭证,最好启用npm的双因素验证机制,以及限制有权在npm出版套件的人数,另也建议应用程序开发人员应该利用工具来钳制新套件的自动安装能力。
閱讀更多 數碼小強 的文章
關鍵字: 黑客 套件 JavaScript
