Illustriaは2月16日(現地時間)、「illustria Discovers Account Takeover Vulnerability in a Popular Package, Affecting 1000+ Organizations|by Bogdan Kortnov|Feb, 2023|illustria.io」において、人気のnpmパッケージがアカウント乗っ取り攻撃に対して脆弱であると伝えた。そのnpmパッケージは毎週400万回近くダウンロードされており、欠陥が悪用された場合、1000以上の組織に影響を及ぼすと報告している。

Illustriaの調査により、人気のnpmパッケージのメンテナ1人の期限切れドメインを回復させることで、アカウント乗っ取りが成功することがわかった。npmではセキュリティ保護のため、ユーザーは1つのアカウントにつき1つの有効なメールアドレスしか持てないよう制限されている。しかしながら、回収したドメインを利用してパッケージに関連するGitHubアカウントのパスワードをリセットすることで、乗っ取りが可能であることが明らかにされている。

GitHubアカウントにアクセスできれば、プロジェクトのパイプラインから継続的インテグレーション/継続的デプロイ(CI: Continuous Integration/CD: Continuous Deployment)オートメーショントークンを抽出し、メンテナアカウントに代わって新たな悪意のあるパッケージを公開するために使用することができると説明されている。

アカウント乗っ取り攻撃に対して脆弱だったnpmパッケージの名前は明らかにされていないが、メンテナには連絡済みでドメインはすでに確保されていると報告している。Illustriaはnpmのメンテナに対し、自分のアカウントをチェックするとともに、使用していないメールアドレスを削除することを推奨している。また、自動化された二要素認証(2FA: Two-Factor Authentication)は回避が可能だと述べており、できるだけ許可の範囲を制限するようアドバイスしている。