骇客入侵JavaScript套件ESLintScope以窃取npm存取令牌

JavaScript工具套件出版商ESLint周四（7/12）透露，骇客盗用了该套件维护人员的npm账号，并上传了含有恶意程式的版本，以窃取其它用户的npm凭证，在短短的几小时内，即有4,500个账号的存取令牌（access token）遭窃，为了避免灾情扩大，npm撤销了所有在昨天以前建立的存取令牌。

npm的全名为Node Package Manager，是Node.js预设的软件套件管理系统，而ESLint则是JavaScript套件供应商，主要出版JavaScript程式分析工具。

意外的发生来自于ESLint的一名套件维护人员重复使用了已外泄的电子邮件及密码作为npm账号的凭证，而且未启用双因素验证，使得骇客轻易地就登入了该名工程师的npm账号，建立新的npm存取令牌，并于npm上出版含有恶意程式的eslint-scope@3.7.2与eslint-config-eslint@5.0.2。

一旦安装了上述任一个版本，恶意程式即会自pastebin.com下载与执行一个可将用户的.npmrc档案传送给骇客的功能，该档案通常含有npm的存取令牌。

尽管这两个伪造档案从上传到被下架的时间不到3个小时，但根据npm的估计，已有约4,500个账号的存取令牌遭窃。

为了防范灾情蔓延或造成连锁效应，npm撤销了在昨天以前所建立的所有存取令牌，也呼吁npm的注册用户必须重新取得npmjs.com的验证与产生新的存取令牌。

ESLint则奉劝所有的npm套件维护人员都应避免使用重复的凭证，最好启用npm的双因素验证机制，以及限制有权在npm出版套件的人数，另也建议应用程序开发人员应该利用工具来拑制新套件的自动安装能力。