https://therecord.media/thousands-of-npm-accounts-use-email-addresses-with-expired-domains/
ある学術研究プロジェクトでは、何千人ものJavaScript開発者がnpmアカウントに期限切れのドメインを持つ電子メールアドレスを使用しており、プロジェクトが簡単に乗っ取られる可能性があることがわかりました。
チームは、攻撃者がこれらのドメインを購入し、保守者のアドレスを自分の電子メールサーバーに再登録してから、保守者のアカウントパスワードをリセットし、npmパッケージを乗っ取る可能性があると主張しました。
このようなアカウントの乗っ取りはアカウント所有者によって発見される可能性がありますが、研究者はまた、多くのnpmライブラリとアカウントが維持されていない(58.7%)か放棄されている(44.3%)ため、攻撃者ができる可能性が高いと指摘しましたメンテナが気付かないうちに攻撃を実行します。
npmチームは調査結果に反応したようです
調査チームは、レポートの調査結果をnpmセキュリティチームに通知したと述べましたが、npmチームがどのように反応したかについては述べていません。
ただし、この調査が2021年12月に公開される数日前に、npmは開発者アカウントに2FAを徐々に適用する計画を発表したことは注目に値します。
何千ものnpmアカウントが、期限切れのドメインを持つ電子メールアドレスを使用しています。CatalinCimpanu
security summary
コメント