一个学术研究项目发现，数以千计的 JavaScript 开发人员正在使用域名过期的电子邮件地址作为他们的 npm 帐户，因此他们的项目容易被劫持。

这项研究由微软和北卡罗来纳州立大学的研究人员于去年进行，他们分析了上传到 Node Package Manager (npm)——JavaScript 库的实际存储库和互联网上最大的包存储库上的 1,630,101 个库的元数据。

研究发现 2,818 名项目维护者仍在使用其帐户的电子邮件地址，这些帐户的域名已过期，其中一些在海域云（seaip.com）等网站上出售。

该团队认为，攻击者可以购买这些域名，在他们自己的电子邮件服务器上重新注册维护者的地址，然后重置维护者的帐户密码并接管他的 npm 包，因此这些开发者面临着账户劫持。

因为 npm 门户不会对帐户所有者强制执行双重身份验证 (2FA)，所以像这样的攻击会起作用，这意味着一旦攻击者重置所有者的密码，他们就可以自由地更改具有任何其他障碍的软件包。

研究团队表示，总共 2,818 个维护者帐户管理 8,494 个包，其中平均有 2.43 个直接依赖项，这表明任何攻击也会打击数以万计的其他下游项目。

帐户所有者可能会发现此类帐户劫持，但研究人员还指出，许多 npm 库和帐户要么未维护（58.7%）要么被遗弃（44.3%），攻击者很有可能能够在维护者甚至没有注意到的情况下进行攻击。