ESLint的NPM账户遭黑客攻击,可能窃取用户NPM访问令牌

最新推荐文章于 2024-10-14 17:54:07 发布
最新推荐文章于 2024-10-14 17:54:07 发布
阅读量78 收藏
点赞数
文章标签: json webpack ViewUI
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_33995481/article/details/89136361
版权

7月12日,黑客攻击了ESLint维护者的NPM帐户,并将带有病毒的eslint-scope和eslint-config-eslint软件包发布到NPM注册表中。带有恶意病毒的软件包在安装时,计算机会自动下载并执行pastebin.com代码,然后将含有NPM访问令牌的.npmrc文件内容发送给攻击者。

\\

事件的起因是由于帐户遭到入侵的维护者在其他几个网站上设置的密码和npm上的一样,并且没有在他们的npm帐户上启用双重身份验证。

\\

对此,ESLint团队表示:

\\
\

我们对此表示遗憾,我们希望其他软件包维护者可以从我们的错误中吸取教训并提高整个npm生态系统的安全性。

\
\\

恶意程序包包含在eslint-scope@3.7.2和eslint-config-eslint@5.0.2中,目前,它们都已经从npm中被移除出去了,pastebin.com在这些包中的链接也已被删除。

\\

npm也已撤销在2018-07-12 12:30 UTC之前发出的所有访问令牌。因此,受此攻击影响的所有访问令牌都不再可用。

\\

受影响的包

\\
  • \\t

    eslint-scope@3.7,是几个流行包的依赖项,包括一些旧版本的eslint和最新版本的babel-eslint和webpack。

    \\t\\t
  • \\t

    eslint-config-eslint@5.0 是ESLint团队内部使用的配置,在其他地方使用很少。

    \\t\

据报道,受损版本是eslint-scope 3.7.2,是昨天发布的版本。3.7.1和4.0.0是安全的。如果你昨天已完成npm安装,请重置你的NPM令牌并再次安装npm。如果你使用了eslint-scope 3.7.2、ESLint 4或任何版本的Babel-ESLint(尚未更新到4.0.0),则会受到影响。

\\

如果你运行自己的npm注册表,则应删除带有恶意病毒的软件包,它们在npmjs.com注册表中已经被删除了。

\\

攻击方式:https://gist.github.com/hzoo/51cb84afdc50b14bffa6c6dc49826b3e

\\

官方建议

\\
  • \\t

    软件包维护者和用户应避免在多个不同的站点上重复使用相同的密码,1Password或LastPass这样的密码管理器可以帮助解决这个问题。

    \\t\\t
  • \\t

    包维护者应该启用npm双重身份验证,可参照npm上的指南(https://docs.npmjs.com/getting-started/using-two-factor-authentication)。

    \\t\\t
  • \\t

    如果你使用Lerna,则可以按此操作(https://github.com/lerna/lerna/issues/1091)。

    \\t\\t
  • \\t

    软件包维护者应审核并限制有权在npm上发布的人数。

    \\t\\t
  • \\t

    软件包维护者应注意使用任何自动合并依赖项的升级服务。

    \\t\\t
  • \\t

    应用程序开发人员应使用 lockfile(package-lock.json或yarn.lock)来阻止自动安装新软件包。

    \\t\

时间线

\\
  • \\t

    事件发生之前:攻击者可能在第三方攻击中发现维护者重复使用的电子邮件和密码,并使用它们登录维护者的npm帐户。

    \\t\\t
  • \\t

    2018年7月12日凌晨:攻击者在维护者的npm帐户中生成了一个身份验证令牌。

    \\t\\t
  • \\t

    2018-07-12 9:49 UTC:攻击者使用生成的身份验证令牌发布eslint-config-eslint@5.0.2,其中包含泄露本地计算机.npmrc身份验证令牌的恶意脚本postinstall。

    \\t\\t
  • \\t

    2018-07-12 10:25 UTC:攻击者删除eslint-config-eslint@5.0.2。

    \\t\\t
  • \\t

    2018-07-12 10:40 UTC:攻击者发布eslint-scope@3.7.2,其中包含相同的恶意postinstall脚本。

    \\t\\t
  • \\t

    2018-07-12 11:17 UTC:用户发布了eslint / eslint-scope#39(https://github.com/eslint/eslint-scope/issues/39),通知ESLint团队出现此问题。

    \\t\\t
  • \\t

    2018-07-12 12:27 UTC:包含恶意代码的pastebin.com链接被删除。

    \\t\\t
  • \\t

    2018-07-12 12:37 UTC:npm团队在与ESLint维护人员联系后将eslint-scope@3.7.2删除。

    \\t\\t
  • \\t

    2018-07-12 17:41 UTC:ESLint团队发布eslint-scope@3.7.3和eslint-scope@3.7.1的代码,以便缓存可以获取新版本。

    \\t\\t
  • \\t

    2018-07-12 18:42 UTC:npm撤销了在2018-07-12 12:30 UTC之前生成的所有访问令牌。

    \\t\

相关链接

\\

原始报告:https://github.com/eslint/eslint-scope/issues/39

\\

npm报告:https://status.npmjs.org/incidents/dn7c1fgrr7ng

weixin_33995481
关注
如何在AngularJS web应用程序中实现OpenID Connect认证 OpenID Connect Authentication in AngularJS
AI天才研究院
08-04 1434
在现代互联网应用中,身份验证已经成为一个越来越重要的话题。由于用户数据越来越多、越来越复杂,各种安全问题也层出不穷,因此需要更为安全的身份验证系统来保护用户的隐私信息。目前,业界最流行的身份验证方式是用户名密码这种模式。但是,这种模式存在着很多问题,比如管理混乱、存储明文等。OpenID Connect(OpenID认证协议)就是为了解决这一问题而设计出来的。本文将介绍如何在AngularJS web应用程序中实现OpenID Connect认证。
Python安全编程:避免常见安全漏洞及防范措施
AI天才研究院
08-11 346
2021年,随着AI领域的火爆、互联网平台的壮大、传统行业的转型升级,企业应用机器学习技术解决了很多问题。然而,在实际生产环境中,仍然存在一些安全风险需要注意,如数据泄露、网络攻击、程序漏洞等。本文将以实际案例出发,深入分析并总结目前已知的“Python安全编程”相关的常见安全漏洞及防范措施,为Python开发者提供一个可行的安全防护策略。静态代码检查工具的使用Python代码安全之依赖包管理文件上传漏洞SQL注入攻击CSRF跨站请求伪造密码散列函数的选择Flask框架安全配置。
gitlab漏洞系列-NPM注册表接受OAuth2令牌
richard1230的博客
04-09 3253
声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。背景 白帽小哥fushbey于2020年6月提交了这个漏洞: NPM注册表将2FA与其他认证方式分开,并声明OAuth2令牌不起作用,针对这句话进行测试,注册表在两种情况下都接受OAuth2令牌(与文档矛盾):1.2FA由私有组(包含NPM注册表)强制执行,但用户还没有设置2FA,此时,被重定向到2FA的设置页面。2.用户已经设置了2FA。这哥们为了确
共享≠安全,ESLint黑客入侵事件刨析
weixin_34378969的博客
07-13 170
2018年7月12日,全球最大的面向开源及私有软件项目的托管平台GitHub对外宣称,一名黑客入侵了ESLint ,并利用Npm账户发布了包含了恶意软件的版本3.7.2,用户在安装时,恶意代码将会自动执行,访问某个网站同时会把用户的.npmrc文件的内容发送给黑客自己,而在.npmrc文件中一般包含发布到NPM访问令牌。 恶意程序包的...
NPM与外部服务的集成(上)
专注于大数据方向,区块链,前后端,数据可视化,人工智能等领域
08-13 1367
您可以设置令牌的有效期,至少在未来一天内。例如,GitHub Actions提供了存储密钥的能力,例如访问令牌,然后您可以使用这些秘密来进行身份验证。当您的工作流运行时,它将能够像您一样完成npm任务,包括安装您可以访问的私有包。当您给予对组织的令牌访问权限时,令牌只能用于管理组织设置以及与该组织关联的团队或用户。细粒度访问令牌允许您根据要使用令牌的用途限制对令牌访问。6、令牌生成之后,回访令牌列表页面,在列表上面可以看到新生成的令牌。5、令牌生成之后,回访令牌列表页面,在列表上面可以看到新生成的令牌
[eslint-plugin-vue] [vue/no-unused-vars] 'scope' is defined but never used.
源码好优多
02-09 8543
前言 今天在做项目的时候Visual Studio Code报了一个错 这个错的意思是声明了scope却没有使用它,这是vue的eslink插件检测的。 我想这个scope的属性不是自己的吗,咋是我声明了它呢,这个时候头脑突然跳出来了scope这个属性被最新vue已经弃用了,升级成slot-scope了 最后我把scope改成slot-scope就不报错了...
带有身份验证的节点Api:仅使用JSON Web令牌(jwt)进行实践
02-17
JSON Web Token(JWT)是一种广泛使用的轻量级身份验证机制,...然而,值得注意的是,虽然JWT提供了许多优势,但也需要妥善处理密钥管理、令牌安全性(如防止令牌窃取)以及令牌刷新等问题,以确保系统的整体安全性。
(近5w字)面向小白のVue全家桶开发电商管理系统项目总结文档
超逸の学习技术博客
07-05 2372
(近5w字)面向小白のVue全家桶开发电商管理系统项目,挖掘项目亮点,提供学习地址。
可能是前端开发中能遇到最全的cookie问题了
weixin_44134674的博客
11-28 2180
什么是 cookieHTTP Cookie(也叫 Web Cookie 或浏览器 Cookie)是服务器发送到用户浏览器并保存在本地的一小块数据。浏览器会存储 cookie 并在下次向同一服务器再发起请求时携带并发送到服务器上。通常,它用于告知服务端两个请求是否来自同一浏览器——如保持用户的登录状态。Cookie 使基于无状态的 HTTP 协议记录稳定的状态信息成为了可能
eslint-scope:护栏镜
04-30
ESLint范围 ESLint Scope是ESLint中使用的范围分析器。 这是的叉子。 用法 安装: npm i eslint-scope --save 例子: var eslintScope = require ( 'eslint-scope' ) ; var espree = require ( 'espree' ) ; var estraverse = require ( 'estraverse' ) ; var ast = espree . parse ( code , { range : true } ) ; var scopeManager = eslintScope . analyze ( ast ) ; var currentScope = scopeManager . acquire ( ast ) ; // global scope estraverse .
探索JavaScript范围的奥秘:ESLint Scope深度解析与应用
gitblog_00092的博客
06-22 301
探索JavaScript范围的奥秘:ESLint Scope深度解析与应用 eslint-scopeeslint-scope: ECMAScript scope analyzer项目地址:https://gitcode.com/gh_mirrors/es/eslint-scope 在JavaScript开发的浩瀚宇宙中,精准地管理变量的作用域是保证代码质量的关键。为此,我们为您推荐一个强大而不可...
常规控件使用中的ESlint报错问题
u014325882的博客
05-23 390
在插槽中使用按键时的提示'scope' is defined but never used.eslintvue/no-unused-vars 使用方法没问题,所以禁用报错行中ESlint规则 标题
vue 关闭vue项目中烦死人的ESlint
热门推荐
还有很长很长的路
04-04 14万+
【已解决】vue 关闭vue项目中烦死人的ESlint 很多时候,因为一些书写问题,ESlint会报错。
npm install 报错 npm ERR! code ERESOLVE npm ERR! ERESOLVE unable to resolve dependency tree问题解决
邢思北的博客
06-02 6万+
问题报错: npm版本: 查阅资料后说是因为npm7.x的版本比npm6.x更严格,两种解决方案: 1.降级到npm6.x 2.npm i --legacy-peer-deps 方案二亲测可用
Python案例 |地图绘制及分级着色
ikhui7的博客
10-13 246
分级着色地图常用于可视化地理数据,比如人口密度、经济数据、气候变化等。其原理是使用颜色或阴影的渐变来表示不同区域(如国家、省份、城市等)中的数据差异。例如,地图上的每个区域根据其代表的数值被着色,通常数值越大,颜色越深。
SmartAdmin项目前端启动报错 SyntaxError: Unexpected token ‘??=‘
最新发布
qq_41883461的博客
10-14 198
大家好,我是时生,我又回来了,站在巨人的肩膀做出一点点改变。欢迎批评,欢迎指正,欢迎共享,有事私信。
基于gewechat制作第一个微信聊天机器人
2401_82817454的博客
10-12 338
Gewe 个微框架GeWe(个微框架)是一个创新性的软件开发框架,为个人微信号以及企业信息安全提供了强大的功能和保障。GeWe的设计旨在简化开发过程,使开发者能够高效、灵活地构建和定制通信协议,以满足不同应用场景的需求。
【umi】umi设置端口号的方式
hzxOnlineOk的博客
10-12 258
三种方式,根据各自的版本去实践,建议方法一,较为省事。
移除ESLint npm
07-27
$ npm uninstall eslint ``` 这将从你的项目中移除ESLint依赖包。 #### 引用[.reference_title] - *1* *2* *3* [发布一个eslintnpm包](https://blog.csdn.net/weixin_49015558/article/details/123822588)[target...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值