npm注册库经历了一次运维的意外事件,导致一些被高度依赖的包变得不可用,比如require-from-string
。尽管这个意外事件非常易于修复,但是它暴露了一个较为严重的安全漏洞,借助该漏洞能够尝试将恶意代码注入到使用npm的项目中。
按照官方报告的说法,这次意外事件的根本原因在于错误地将名为“floatdrop”的用户移除,并使他们的包无法查找和下载。之所以做出这样的决策是因为发布了一个包含垃圾软件的包,该包中还包含了floatdrop的合法包timed-out
的README。因为匹配了README,所以npm的反垃圾系统将floatdrop标记为垃圾包,随后导致了移除用户及其所有的包的操作。
npm快速发现floatdrop确实是一个合法的用户,并且他们的有些包被高度使用,所以他们立即采取行动恢复所有的包。但就在这个过程所需的短短时间内,有一些与删除包名称相同的新包发布了,并且安装数目不详。
尽管npm的员工确认所有这些上传的替代包并非恶意的,但是这种事件有可能会给npm用户的项目注入恶意代码。需要注意的是,npm确实有一个策略,用来防止发布时间超过24小时的包被删除掉,其目的在于让其他人无法重用这些包的名字,但是这项策略之前并没有应用到垃圾软件包的删除上。这样做的理由是不想让垃圾软件妨碍合法名称的使用。
作为对这起事件的回应,npm的员工采取了几项措施,其中最重要的就是对所有删除的包名有一个24小时的冷却(cooldown)时间,这项策略也包括含有垃圾内容的包。这样的话,通过替换已删除的包来注入恶意代码会变得更困难,但是如果有人试图重用合法的包名的话,这需要npm的员工在24小时的时间窗口内恢复该包名。
另外,npm的员工将会建立一系列的指导文档,让合法包名的误删更加难以出现。读者可以在原始博客文章中了解更多信息。
查看英文原文:Last Npm Incident Uncovers Security Vulnerability