[关闭]
@qinyun 2018-07-13T11:07:26.000000Z 字数 2000 阅读 1169

ESLint的NPM账户遭黑客攻击,可能窃取用户NPM访问令牌

未分类


7月12日,黑客攻击了ESLint维护者的NPM帐户,并将带有病毒的eslint-scope和eslint-config-eslint软件包发布到NPM注册表中。带有恶意病毒的软件包在安装时,计算机会自动下载并执行pastebin.com代码,然后将含有NPM访问令牌的.npmrc文件内容发送给攻击者。

事件的起因是由于帐户遭到入侵的维护者在其他几个网站上设置的密码和npm上的一样,并且没有在他们的npm帐户上启用双重身份验证。

对此,ESLint团队表示:

我们对此表示遗憾,我们希望其他软件包维护者可以从我们的错误中吸取教训并提高整个npm生态系统的安全性。

恶意程序包包含在eslint-scope@3.7.2和eslint-config-eslint@5.0.2中,目前,它们都已经从npm中被移除出去了,pastebin.com在这些包中的链接也已被删除。

npm也已撤销在2018-07-12 12:30 UTC之前发出的所有访问令牌。因此,受此攻击影响的所有访问令牌都不再可用。

受影响的包

据报道,受损版本是eslint-scope 3.7.2,是昨天发布的版本。3.7.1和4.0.0是安全的。如果你昨天已完成npm安装,请重置你的NPM令牌并再次安装npm。如果你使用了eslint-scope 3.7.2、ESLint 4或任何版本的Babel-ESLint(尚未更新到4.0.0),则会受到影响。

如果你运行自己的npm注册表,则应删除带有恶意病毒的软件包,它们在npmjs.com注册表中已经被删除了。

攻击方式:https://gist.github.com/hzoo/51cb84afdc50b14bffa6c6dc49826b3e

官方建议

时间线

相关链接

原始报告:https://github.com/eslint/eslint-scope/issues/39

npm报告:https://status.npmjs.org/incidents/dn7c1fgrr7ng

添加新批注
在作者公开此批注前,只有你和作者可见。
回复批注