npm现在为高影响力账户(负责注册管理机构最广泛使用的软件包)添加了一种临时的预防性保护措施,每当它检测到敏感的账户变更时,就会加强对账户接管攻击的保护。
当影响力大的账号更改其电子邮箱或使用双因素身份验证恢复代码时,该账号将处于72小时只读状态,并向该账号之前的电子邮件地址发送警报。这关闭了最近供应链攻击利用的攻击载体:受损帐户更改其电子邮件,铸造新令牌并发布恶意版本。
在只读期间,你仍然可以安装和下载包、查看你的组织和团队,以及浏览帐户和包设置。可能会影响注册表或帐户安全的操作(例如发布、管理令牌、更改包可见性或修改组织与团队成员身份)将暂停,直到安全措施解除。
无需采取任何措施即可恢复完整访问权限:账号在72小时后自动恢复正常,无需重新确认步骤。套餐始终可供所有依赖套餐的人使用。如果您认为您的账号意外受到影响,或者您在只读期间需要帮助,请联系npm支持。
npm现在为高影响力账户(负责注册管理机构最广泛使用的软件包)添加了一种临时的预防性保护措施,每当它检测到敏感的账户变更时,就会加强对账户接管攻击的保护。