当前位置:首页 > 话题广场 > 攻略专题 > 游戏问答

qq邮箱里已经过期了怎么办?终于找到答案了数千开发者的npm账户在使用域名已过期的电子邮件地址

去年微软和北卡罗来纳州立大学的研究人员分析了上传到NPM的1630101个库的元数据。

结果发现,数以千计的 JavaScript 开发者账户,正在使用域名已过期的电子邮件地址,意味着他们的项目很容易被劫持。在 2818 名项目维护者使用的电子邮件地址中,某些已过期的域名已挂在 GoDaddy 等网站上待售。

NPM 是“节点包管理器”(Node Package Manager)的缩写

研究人员指出,别有用心的攻击者可购买这些域名,在其电子邮件服务器上重新注册维护者的地址,然后重置维护者的账户密码、以接管受害者的 npm 包。

这类攻击得逞的隐患很大,因为 npm 门户不会对账户所有者强制执行 2FA 双因素身份验证。意味着一旦被攻击者重置密码,他们就可肆意篡改相关软件包。

共计 2818 个维护者账户在管理 8494 个包,其中平均有 2.43 个直接依赖项,表明特定攻击可波及数以万计的其它下游项目。

所有者可能会觉察到其账户被劫持,但考虑到许多 npm 库和账户要么长期被冷落(高达 58.7% 未得到维护)、要么就是已被遗弃(44.3%),情况并不容乐观。

研究团队将它们的发现通报给了 npm 安全团队,但并未说明对方给出了怎样的回应。

截止 The Record 发稿时,发给 npm 上属的 GitHub 的电子邮件,暂未看到退件回执。

庆幸的是,在研究结果于 2021 年 12 月发布的前几天,npm 已宣布一项新计划,声称要逐渐让开发者账户强制执行双因素身份验证。

该过程将分多个阶段进行,且本月初注册的前百名维护者账户都已落实 2FA 方案。欲知详情,还请翻阅《npm 供应链中的薄弱环节》一文。

以下是研究团队的一些其它发现:

● 33249 个软件包(2.2%)使用了安装脚本,或被滥用于执行恶意命令、且违反 npm 的最佳安全实践。

● 排名前 1% 的软件包(14941 个),平均有 32.4 名维护者 —— 这为针对不活跃 / 疏于照顾的开发者账户进行的攻击敞开了大门。

● 389 个软件包,平均有 40 名贡献者 —— 这为意外植入的安全漏洞、或让项目充斥潜在恶意代码而留下了隐患。

● 前 1% 维护者,平均管理着 180.3 个软件包;而直接依赖的包数量,平均为 4010 个 —— 意味着某些开发者可能可能过劳,或没有太多精力来彻底维护或审查软件包的变更。

1.《qq邮箱里已经过期了怎么办?终于找到答案了数千开发者的npm账户在使用域名已过期的电子邮件地址》援引自互联网,旨在传递更多网络信息知识,仅代表作者本人观点,与本网站无关,侵删请联系页脚下方联系方式。

2.《qq邮箱里已经过期了怎么办?终于找到答案了数千开发者的npm账户在使用域名已过期的电子邮件地址》仅供读者参考,本网站未对该内容进行证实,对其原创性、真实性、完整性、及时性不作任何保证。

3.文章转载时请保留本站内容来源地址,https://www.lu-xu.com/gl/3218397.html

上一篇

qq用手机怎么修改密码?终于找到答案了查询并找回自己曾经注册过的QQ号开启尘封的记忆

qq邮箱里已经过期了怎么办看这里!警惕!这笔“工资补贴”千万别领

qq邮箱里已经过期了怎么办相关介绍,“《2021年工资补贴》上市了 点击页面,扫描并接收代码 请在三天内务必办理登记领取。" " 你收到过这样的邮件吗? 请注意 这是个新把戏! 收到“工资补贴通知”邮件 女人骗了1000...

qq邮箱里已经过期了怎么办看这里!腾讯QQ会员「邮箱文件中转站特权」下线通知

qq邮箱里已经过期了怎么办相关介绍,亲爱的QQ会员用户: 非常感谢您对QQ会员服务的关注!由于QQ邮箱(以下简称“邮箱”)的升级和调整,文档中继站不再提供扩展存储服务,容量将统一调整为3G,因此通知您,从2021年1月16日起,“邮箱文...

qq邮箱里已经过期了怎么办?终于找到答案了Gmail添加过期日期(Windows和Mac)

qq邮箱里已经过期了怎么办相关介绍,向Gmail添加到期日(Windows和Mac) 使用Gmail的机密模式功能,您可以在电子邮件中添加到期日。 当您在电子邮件中添加到期日期时,收件人在设置的日期之后将无法访问其内容。 要将过期日期添...