设为首页收藏本站

LUPA开源社区

 找回密码
 注册
文章 帖子 博客
LUPA开源社区 首页 业界资讯 开源资讯 查看内容

由于开发者使用弱凭证 过半的npm包易遭受入侵

2017-10-11 22:52| 发布者: joejoe0332| 查看: 187| 评论: 0|原作者: Bleeping Computer|来自: Bleeping Computer

摘要: 调查发现,有成千上万的开发者在使用弱凭证来保护自己的 npm 账户,这种做法无意中将超过一半的 npm 软件包置于被劫持的风险中。一些别有居心的人会利用这个风险在合法应用程序构建时将恶意代码部署到其中。 ...
调查发现,有成千上万的开发者在使用弱凭证来保护自己的 npm 账户,这种做法无意中将超过一半的 npm 软件包置于被劫持的风险中。一些别有居心的人会利用这个风险在合法应用程序构建时将恶意代码部署到其中。

这件事可以追溯到今年 6 月份有开发者在 GitHub 上发布的一篇文章 Gathering weak npm credentials,文章主要讲述了收集 npm 弱凭证的几种方式,以及其可能会导致的影响。npm 公司获悉这个情况后,已向所有受影响的用户触发密码重置操作。

此后,开发者依然在扫描 npm 账户,但这次扫描却意外获得了更多有效的账号。开发者此时意识到情况十分糟糕,如果被人恶意利用这个操作,攻击者可以获得 66,876 个 npm 包的直接发布权限,占整个 npm 包生态系统的 13%。

更重要的是,如今开发者主要通过使用 npm 的依赖关系管理来加载他们需要的库,这种自动依赖关系管理意味着当开发者加载了一个 npm 包 A 时,还会加载其依赖关系 —— npm 包 B, C, D, E, F, G 等。通过这种依赖关系,攻击者可将恶意代码传播到整个 npm 生态系统的 52% 软件包。

与这种情况类似,目前也有研究小组发现存在 npm 蠕虫的可能性,它可以使用 npm 依赖来传播和感染其他的 npm 软件包。

参考:Bleeping Computer


酷毙

雷人

鲜花

鸡蛋

漂亮

最新评论

(200字以内)
验证问答 换一个 验证码 换一个

  • 快毕业了,没工作经验,
    找份工作好难啊?
    赶紧去人才芯片公司磨练吧!!

最新评论

关于LUPA|人才芯片工程|人才招聘|LUPA认证|LUPA教育|LUPA开源社区 ( 浙B2-20090187  

返回顶部