写点什么

ESLint 的 NPM 账户遭黑客攻击,可能窃取用户 NPM 访问令牌

  • 2018-07-16

  • 本文字数:1488 字

    阅读完需:约 5 分钟

7 月 12 日,黑客攻击了 ESLint 维护者的 NPM 帐户,并将带有病毒的 eslint-scope 和 eslint-config-eslint 软件包发布到 NPM 注册表中。带有恶意病毒的软件包在安装时,计算机会自动下载并执行 pastebin.com 代码,然后将含有 NPM 访问令牌的.npmrc 文件内容发送给攻击者。

事件的起因是由于帐户遭到入侵的维护者在其他几个网站上设置的密码和 npm 上的一样,并且没有在他们的 npm 帐户上启用双重身份验证。

对此,ESLint 团队表示:

我们对此表示遗憾,我们希望其他软件包维护者可以从我们的错误中吸取教训并提高整个 npm 生态系统的安全性。

恶意程序包包含在 eslint-scope@3.7.2 和 eslint-config-eslint@5.0.2 中,目前,它们都已经从 npm 中被移除出去了,pastebin.com 在这些包中的链接也已被删除。

npm 也已撤销在 2018-07-12 12:30 UTC 之前发出的所有访问令牌。因此,受此攻击影响的所有访问令牌都不再可用。

受影响的包

  • eslint-scope@3.7,是几个流行包的依赖项,包括一些旧版本的 eslint 和最新版本的 babel-eslint 和 webpack。
  • eslint-config-eslint@5.0 是 ESLint 团队内部使用的配置,在其他地方使用很少。

据报道,受损版本是 eslint-scope 3.7.2,是昨天发布的版本。3.7.1 和 4.0.0 是安全的。如果你昨天已完成 npm 安装,请重置你的 NPM 令牌并再次安装 npm。如果你使用了 eslint-scope 3.7.2、ESLint 4 或任何版本的 Babel-ESLint(尚未更新到 4.0.0),则会受到影响。

如果你运行自己的 npm 注册表,则应删除带有恶意病毒的软件包,它们在 npmjs.com 注册表中已经被删除了。

攻击方式: https://gist.github.com/hzoo/51cb84afdc50b14bffa6c6dc49826b3e

官方建议

  • 软件包维护者和用户应避免在多个不同的站点上重复使用相同的密码,1Password 或 LastPass 这样的密码管理器可以帮助解决这个问题。
  • 包维护者应该启用 npm 双重身份验证,可参照 npm 上的指南( https://docs.npmjs.com/getting-started/using-two-factor-authentication )。
  • 如果你使用 Lerna,则可以按此操作( https://github.com/lerna/lerna/issues/1091 )。
  • 软件包维护者应审核并限制有权在 npm 上发布的人数。
  • 软件包维护者应注意使用任何自动合并依赖项的升级服务。
  • 应用程序开发人员应使用 lockfile(package-lock.json 或 yarn.lock)来阻止自动安装新软件包。

时间线

  • 事件发生之前:攻击者可能在第三方攻击中发现维护者重复使用的电子邮件和密码,并使用它们登录维护者的 npm 帐户。
  • 2018 年 7 月 12 日凌晨:攻击者在维护者的 npm 帐户中生成了一个身份验证令牌。
  • 2018-07-12 9:49 UTC:攻击者使用生成的身份验证令牌发布 eslint-config-eslint@5.0.2,其中包含泄露本地计算机.npmrc 身份验证令牌的恶意脚本 postinstall。
  • 2018-07-12 10:25 UTC:攻击者删除 eslint-config-eslint@5.0.2。
  • 2018-07-12 10:40 UTC:攻击者发布 eslint-scope@3.7.2,其中包含相同的恶意 postinstall 脚本。
  • 2018-07-12 11:17 UTC:用户发布了 eslint / eslint-scope#39( https://github.com/eslint/eslint-scope/issues/39 ),通知 ESLint 团队出现此问题。
  • 2018-07-12 12:27 UTC:包含恶意代码的 pastebin.com 链接被删除。
  • 2018-07-12 12:37 UTC:npm 团队在与 ESLint 维护人员联系后将 eslint-scope@3.7.2 删除。
  • 2018-07-12 17:41 UTC:ESLint 团队发布 eslint-scope@3.7.3 和 eslint-scope@3.7.1 的代码,以便缓存可以获取新版本。
  • 2018-07-12 18:42 UTC:npm 撤销了在 2018-07-12 12:30 UTC 之前生成的所有访问令牌。

相关链接

原始报告: https://github.com/eslint/eslint-scope/issues/39

npm 报告: https://status.npmjs.org/incidents/dn7c1fgrr7ng

划线
评论
复制
2018-07-16 06:311480
文章版权归极客邦科技InfoQ所有,未经许可不得转载。
用户头像
覃云

发布了 83 篇内容, 共 50.6 次阅读, 收获喜欢 187 次。

关注
DevOps & 平台工程语言 & 开发软件工程

评论

发布
暂无评论

更多内容推荐

发现更多内容
用户头像
覃云
关注

暂无签名

最新发布
中国互联网公司开源项目调研报告
2019-04-01
Node 和 JS 基金会宣布合并为 OpenJS 基金会
2019-03-13
13 岁女孩因发布 JavaScript 无限循环代码被捕
2019-03-11

推荐阅读

电子书

大厂实战PPT下载

换一换
    火山引擎湖仓一体产品实践
    火山引擎湖仓一体产品实践

    杨诗旻 | 火山引擎 LAS 数据湖团队负责人

    立即下载
    拿什么管理你我的产品

    王一男 | 腾讯 DevOps产品专家

    立即下载
    营销领域 AIGC 前沿进展与挑战

    卫海天 | 明略科技集团 数据算法及创新技术副总监

    立即下载

数业智能进入全球应用算法模型大赛50强

心大陆多智能体

智能体 AI大模型 心理健康 数字心理

简单剖析 HTTP 请求方法

Liam

程序员 前端 Web 后端 HTTP

软件测试学习笔记丨测试开发体系介绍

测试人

软件测试 测试开发

解决网络问题,多平台同步海外直播带货

Ogcloud

海外直播专线 海外直播 tiktok直播专线 海外直播网络 TikTok跨境直播

如何通过 1688 商品详情的 API 接口获取商品的详细信息

Noah

用海外云手机养TikTok账号稳定吗?安全吗?

Ogcloud

云手机 海外云手机 tiktok云手机 云手机海外版 tiktok运营

在 KubeSphere 上快速安装和使用 KDP 云原生数据平台

智领云科技

开源 大数据平台 KubeSphere KDP

软件测试学习笔记丨JUnit5动态测试创建

测试人

软件测试 自动化测试 测试开发 junit5

让企业知识触手可及,乐享基于腾讯云ES的RAG应用实践

腾讯云大数据

ES

X-ObjectMount: 对象存储访问接入的新选择

XSKY星辰天合

对象存储 软件定义存储 XSKY

和鲸“101”计划领航!和鲸科技携手北中医,共话医学+AI 实验室建设及创新人才培养

ModelWhale

人工智能 大数据 健康医疗

Mint Blockchain 正式发布 Public Mainnet,面向社区开放网络!

NFT Research

blockchain NFT\ Layer 2

中台框架模块开发实践-用 Admin.Core 代码生成器生成通用代码生成器的模块代码

不在线第一只蜗牛

Java 架构 中台架构

场景化解决方案|AR远程协作之——远程维修

AR玩家

AR Rokid Vision pro 炬目AR AR远程协作

Copyright © 2025, Geekbang Technology Ltd. All rights reserved. 极客邦控股(北京)有限公司 | 京 ICP 备 16027448 号 - 5京公网安备京公网安备 11010502039052号 | 产品资质
ESLint的NPM账户遭黑客攻击,可能窃取用户NPM访问令牌_DevOps & 平台工程_覃云_InfoQ精选文章