npm now freezes high-impact accounts after risky account changes

npm has introduced a 72-hour account freeze for high-impact accounts (those managing packages with 1M+ weekly downloads or 500+ dependents) when sensitive actions like email changes or 2FA recovery code use are detected. During the freeze, publishing, token management, and org changes are blocked while installs continue normally. This was motivated by recent supply chain attacks like the axios compromise, where attackers changed account emails to sever owner recovery paths. The cooldown complements two other recent npm security features: trusted publishing (OIDC-based short-lived credentials) and staged publishing (human approval for CI releases). Together, these three controls address stolen credentials, unreviewed automated releases, and account takeovers respectively. Maintainers of popular packages are advised to verify their account email, adopt FIDO2 authentication, configure trusted publishing as stage-only, and disable long-lived tokens.

Nguồn: https://www.aikido.dev/blog/npm-cooldown-account-changes-announcement. 8sync News chỉ tóm tắt và dẫn link; bản quyền nội dung thuộc tác giả và nguồn gốc.

Đề xuất cho bạn

BleepingComputer294 phút4 ngày trướcAI

FFmpeg fixes PixelSmash flaw in widely used video decoder

Lỗ hổng ghi vượt giới hạn heap (CVE-2026-8461) có tên PixelSmash được phát hiện trong bộ giải mã MagicYUV của FFmpeg, ảnh hưởng đến nhiều ứng dụng sử dụng libavcodec như Kodi, OBS Studio, Nextcloud, PhotoPrism, Emby và Jellyfin. FFmpeg 8.1.2 đã vá lỗ hổng này, có thể gây RCE hoặc từ chối dịch vụ tùy thuộc vào điều kiện hệ thống.

Lập trình viên nên đọc bài này vì PixelSmash là lỗ hổng nghiêm trọng trong FFmpeg, có thể dẫn đến tấn công xâm nhập từ xa (RCE) hoặc cản trở hoạt động của ứng dụng sử dụng libavcodec, từ các nền tảng như Kodi đến hệ thống quản lý media như Jellyfin, ảnh hưởng đến cả hệ thống của bạn nếu không được cập nhật.