В популярном npm-пакете с 3,5 млн еженедельных загрузок нашли уязвимость, которая может привести к перехвату учётной записи. О проблеме рассказали исследователи из компании Illustria, которым удалось с помощью бага сбросить пароль GitHub-аккаунта.
«Контроль над пакетом можно перехватить, восстановив истёкшее доменное имя одного из мейнтейнеров и сбросив пароль», — гласит отчёт Illustria.
Как правило, защитные механизмы npm позволяют использовать только один адрес электронной почты аккаунта. Тем не менее специалистам Illustria удалось восстановить пароль от целевой учётной записи с помощью интересной лазейки.
Выявленный вектор атаки позволяет злоумышленникам получить доступ к пакету, связанному с затронутым GitHub-аккаунтом. Такой доступ можно использовать для публикации троянизированных версий пакетов.
Атакующим может помочь функциональность GitHub Action, подразумевающая, что в репозитории изменённые версии пакетов будут публиковаться автоматически при изменении кода.
«Даже если для аккаунта мейнтейнера настроена двухфакторная аутентификация, токен автоматизации обойдёт её», — объясняет Богдан Кортнов, сооснователь Illustria.
Illustria пока не раскрывает имя пакета, но уже сообщила ответственным лицам о проблеме.
