由于开发者使用弱凭证 过半的 npm 包易遭受入侵

局长
 局长
发布于 2017年10月11日
收藏 3

调查发现,有成千上万的开发者在使用弱凭证来保护自己的 npm 账户,这种做法无意中将超过一半的 npm 软件包置于被劫持的风险中。一些别有居心的人会利用这个风险在合法应用程序构建时将恶意代码部署到其中。

这件事可以追溯到今年 6 月份有开发者在 GitHub 上发布的一篇文章 Gathering weak npm credentials,文章主要讲述了收集 npm 弱凭证的几种方式,以及其可能会导致的影响。npm 公司获悉这个情况后,已向所有受影响的用户触发密码重置操作。

此后,开发者依然在扫描 npm 账户,但这次扫描却意外获得了更多有效的账号。开发者此时意识到情况十分糟糕,如果被人恶意利用这个操作,攻击者可以获得 66,876 个 npm 包的直接发布权限,占整个 npm 包生态系统的 13%。

更重要的是,如今开发者主要通过使用 npm 的依赖关系管理来加载他们需要的库,这种自动依赖关系管理意味着当开发者加载了一个 npm 包 A 时,还会加载其依赖关系 —— npm 包 B, C, D, E, F, G 等。通过这种依赖关系,攻击者可将恶意代码传播到整个 npm 生态系统的 52% 软件包。

与这种情况类似,目前也有研究小组发现存在 npm 蠕虫的可能性,它可以使用 npm 依赖来传播和感染其他的 npm 软件包。

参考:Bleeping Computer

本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创开源社区。
转载请注明:文章转载自 开源中国社区 [http://www.oschina.net]
本文标题:由于开发者使用弱凭证 过半的 npm 包易遭受入侵
加载中

精彩评论

水木易安
水木易安
依赖传播的可怕

最新评论(7

valerians
valerians

引用来自“水木易安”的评论

依赖传播的可怕
依赖真不是一个好方案
Andyfoo
Andyfoo
还是传统的安全
steamer
steamer

引用来自“滔哥”的评论

眼瞎,看成了rpm了
我也是,看到怎么rpm成一个公司了才发现看错了。
阿信sxq
阿信sxq
npm的管理方式太神奇了,可能是因为我是用java的吧,喜欢maven的方式
山雨欲来
山雨欲来
phper 的军队去哪了?
水木易安
水木易安
依赖传播的可怕
滔哥
滔哥
眼瞎,看成了rpm了
返回顶部
顶部