Javascript生态灾难:近十万个NPM用户令牌被盗


基于云的存储库托管服务 GitHub 周五分享了上个月GitHub 集成 OAuth 令牌被盗的更多细节,并指出攻击者能够访问内部 NPM 数据及其客户信息。

因此,GitHub 正在采取措施重置受影响用户的密码。它还有望在接下来的几天内直接通知用户公开的私有包清单、元数据以及私有包名称和版本。

正如 GitHub 所详述的,攻击链涉及攻击者滥用 OAuth 令牌来窃取包含 AWS 访问密钥的私有 NPM 存储库,然后利用它们获得对注册表基础设施的未经授权的访问。

迟早我们将不得不修复当前 Javascript 生态系统的巨大混乱,你不能为了安装一个包,而拉动整个宇宙,并冒着这些依赖关系之一的风险 7 级深度是恶意的.