什么叫误植域名？
Npm网络文章在对新闻事件的叙述中强调，一位名字叫做HackTask的客户在7月19日至7月31日提交了恶意JavaScript库。Npm为JavaScript维护保养了Node包管理工具并代管着“世界最大的APP注册表文件”。每一个恶意数据包的取名都和受欢迎的目前npm数据包相近，以做到搞混目地。这类作法被称作“误植域名”。

以往这类作法基本上不是有意的。而此次数据包取名是故意且恶意的，目地便是获取客户数据信息。

它是怎么偷取开发者NPM凭证的？
JavaScript数据包致力于从所感柒的新项目中偷取系统变量如开发者的凭证，并将他们提交至受网络攻击操纵的服务器npm.hacktask.net中。
比如一个恶意数据包被取名为“crossenv”，专业跟一个真正出现的数据包“cross-env”搞混。从这当中可看得出，真真正正的风险来源于注册量近700的crossenv数据包，此外就是从jquery误植域名中曝露。但即使在那一个实例中，大部分注册量来源于规定16个crossnv版本团本的反射器。可能crossenv的真正安裝量较多仅有50次或是更少。

德国开发者Oscar Bolmsten发觉了crossenv数据包中的恶意编码并根据twiter在8月1日告之npm。开展调查后，npm觉得crossenv数据包所运用的一个Java Script Object Notation配置文件已经运作一个脚本制作，将开发人员凭证变换为可根据POST要求发给npm.hacktask.net的字符串数组。Npm表明，“假如你安装下载了这种数据包中的任何一个，你应该马上撤消并取代在shell自然环境中的全部凭证。”

如何防范误植域名
为了防止再次出现相近进攻，npm表明已经适用LifeSecurity和NodeSecurityProject而且对于公共性申请注册包执行静态数据剖析。Npm网络文章强调，“大家已经探讨检验并阻拦发生跟目前数据包名字十分相近的状况。可根据程序编写方法检验这类状况，并且可根据这种方式阻拦发生相近名字。”