В популярном npm-пакете с 3,5 млн еженедельных загрузок нашли уязвимость, которая может привести к перехвату учётной записи.Anti-Malware.ru
О проблеме рассказали исследователи из компании Illustria, которым удалось с помощью бага сбросить пароль GitHub-аккаунта.Anti-Malware.ru
«Контроль над пакетом можно перехватить, восстановив истёкшее доменное имя одного из мейнтейнеров и сбросив пароль», — гласит отчёт Illustria.Anti-Malware.ru
Атакующим может помочь функциональность GitHub Action, подразумевающая, что в репозитории изменённые версии пакетов будут публиковаться автоматически при изменении кода.Anti-Malware.ru