写点什么

周下载量过 200 万的 npm 包被注入恶意代码,Vue、Node 项目恐受影响

  • 2018-11-27
  • 本文字数:885 字

    阅读完需:约 3 分钟

周下载量过200万的npm包被注入恶意代码,Vue、Node项目恐受影响


今天上午,小编在 Twitter 上刷出了这条推文,再翻看国内一些论坛,开发者已经有所讨论,小编在这里给大家整理一下。


这篇推文及其附带的 GitHub 链接大体是说上周 npm 下载量超过 200 万的 package 被注入了恶意代码,黑客利用该恶意代码访问热门 JavaScript 库,目标是 copay(开源比特币钱包)及其衍生产品的用户,以此窃取用户的数字货币。


这个被注入恶意代码的 package 名为event-stream,它是一个用于处理 Node.js 流数据的 JavaScript 软件包,而且 Angular、Vue、Bootstrap、Gatsby 等都在使用 event-stream,所以使用这些库的开发者都应该检查一下自己是否受到了影响。


如果你使用加密货币相关的库,并且运行npm ls event-stream flatmap-stream,出现flatmap-stream@0.1.1,如下所示:


$ npm ls event-stream flatmap-stream...flatmap-stream@0.1.1...
复制代码


则代表你的项目很可能受到了影响。


这个事件的起因是 event-stream 项目的作者由于时间和精力有限,将其维护工作交给了另一位开发者 Right9ctrl,该开发者获得了 event-stream 的控制权,将恶意代码注入。据报道,该恶意程序在默认情况下处于休眠状态,当 BitPay 的 Copay 钱包启动后,就会自动激活,它将会窃取用户钱包内的私钥并发送至 copayapi.host:8080。


目前 npm 已经删除了带有恶意版本的 event-stream,如果你想继续使用 event-stream,可更新到最新版本的 event-stream 4.0.1。


最后,GitHub 的评论区都在争论开源项目作者是否应该对类似事件负责,因为它关乎上万开发者和项目的安全,而此事是作者的失职,对此,你怎么看?

GitHub 链接

https://github.com/dominictarr/event-stream/issues/116


更多内容可关注前端之巅公众号(ID:frontshow)


活动推荐

12 月 7 日北京 ArchSummit 全球架构师峰会上,来自美团、百度、阿里、快手的讲师齐聚一堂,共同分享“打造 Native 体验 Hybrid App 实践”、“定制统一可维护的前端架构”、“10 年双十一前端关键技术”和“同构 Web App 的另一种探索”等前端经验与实践。


详情请戳:


https://bj2018.archsummit.com/schedule?utm_source=wechat&utm_campaign=10&utm_medium=frontshow&utm_content=banner


2018-11-27 13:254392
用户头像

发布了 83 篇内容, 共 48.0 次阅读, 收获喜欢 187 次。

关注

评论 2 条评论

发布
用户头像
1
2018-12-03 16:21
回复
没有更多了
发现更多内容

第八周·总结·数据结构预算法

刘璐

教培行业工程师面临着什么挑战?研发面板全栈式解决工程师的痛点

Deepexi

DevOps 运维 敏捷开发 研发管理 单元测试

如何在微服务团队中高效使用 Git 管理代码?

看山

git 微服务 高效 签约计划第二季

week8

不在调上

最新硬件虚拟化检测技术,让攻击者逃不出“楚门的世界”

百度安全

云计算 安全 虚拟化

Hadoop 中的 Namenode 和 Datanode

dongge

实现DevOps的三步工作法

看山

DevOps 凤凰项目 签约计划第二季

架构师第8周练习

小蚂蚁

架构师第8周学习总结

小蚂蚁

第八周作业

方堃

缓存思想在算法设计中的应用梳理

che-ri-sh

缓存

架构师课程第八周总结

dongge

TNFE-Weekly[第六十六周已更新]

莹姐🙈

小程序 大前端 周报

链表查找算法,HDFS数据节点宕机处理

dony.zhang

总结

chenzt

华青融天战略拓展总监王旭详解IT运维的九阳神功

DT极客

CompletableFuture运行流程源码详解

编号94530

Java 并发编程 多线程 CompletableFuture

Spring系列:请问各位大佬为何要学spring?

简爱W

各类SQL中日期时间那些事

大唐小生

sql 大数据 SQL语法

抢占5G大市场 众盟科技助力企业跑赢短视频营销新赛道

人称T客

作业二

Kiroro

作业

不在调上

作业一

Kiroro

第八周·命题作业

刘璐

PC人脸识别登录,出乎意料的简单

程序员小富

Java 人脸识别

架构训练营第八周感悟

张锐

单向链表合并节点

chenzt

37岁程序员被裁,想用6月工资跪舔领导划掉被裁名额,结果蒙了!

程序员生活志

程序员 职场

架构师训练营 - 学习总结 第 8 周

铁血杰克

区块链+国防安全,科技是核心战斗力

CECBC

AI大有可为:NAIE平台助力垃圾分类

华为云开发者联盟

AI 模型训练 垃圾回收机制 数据集 华为云

周下载量过200万的npm包被注入恶意代码,Vue、Node项目恐受影响_大前端_覃云_InfoQ精选文章