10 月 23 - 25 日,QCon 上海站即将召开,现在购票,享9折优惠 了解详情
写点什么

周下载量过 200 万的 npm 包被注入恶意代码,Vue、Node 项目恐受影响

  • 2018-11-27
  • 本文字数:885 字

    阅读完需:约 3 分钟

周下载量过200万的npm包被注入恶意代码,Vue、Node项目恐受影响


今天上午,小编在 Twitter 上刷出了这条推文,再翻看国内一些论坛,开发者已经有所讨论,小编在这里给大家整理一下。


这篇推文及其附带的 GitHub 链接大体是说上周 npm 下载量超过 200 万的 package 被注入了恶意代码,黑客利用该恶意代码访问热门 JavaScript 库,目标是 copay(开源比特币钱包)及其衍生产品的用户,以此窃取用户的数字货币。


这个被注入恶意代码的 package 名为event-stream,它是一个用于处理 Node.js 流数据的 JavaScript 软件包,而且 Angular、Vue、Bootstrap、Gatsby 等都在使用 event-stream,所以使用这些库的开发者都应该检查一下自己是否受到了影响。


如果你使用加密货币相关的库,并且运行npm ls event-stream flatmap-stream,出现flatmap-stream@0.1.1,如下所示:


$ npm ls event-stream flatmap-stream...flatmap-stream@0.1.1...
复制代码


则代表你的项目很可能受到了影响。


这个事件的起因是 event-stream 项目的作者由于时间和精力有限,将其维护工作交给了另一位开发者 Right9ctrl,该开发者获得了 event-stream 的控制权,将恶意代码注入。据报道,该恶意程序在默认情况下处于休眠状态,当 BitPay 的 Copay 钱包启动后,就会自动激活,它将会窃取用户钱包内的私钥并发送至 copayapi.host:8080。


目前 npm 已经删除了带有恶意版本的 event-stream,如果你想继续使用 event-stream,可更新到最新版本的 event-stream 4.0.1。


最后,GitHub 的评论区都在争论开源项目作者是否应该对类似事件负责,因为它关乎上万开发者和项目的安全,而此事是作者的失职,对此,你怎么看?

GitHub 链接

https://github.com/dominictarr/event-stream/issues/116


更多内容可关注前端之巅公众号(ID:frontshow)


活动推荐

12 月 7 日北京 ArchSummit 全球架构师峰会上,来自美团、百度、阿里、快手的讲师齐聚一堂,共同分享“打造 Native 体验 Hybrid App 实践”、“定制统一可维护的前端架构”、“10 年双十一前端关键技术”和“同构 Web App 的另一种探索”等前端经验与实践。


详情请戳:


https://bj2018.archsummit.com/schedule?utm_source=wechat&utm_campaign=10&utm_medium=frontshow&utm_content=banner


2018-11-27 13:254592
用户头像

发布了 83 篇内容, 共 51.3 次阅读, 收获喜欢 187 次。

关注

评论 2 条评论

发布
用户头像
1
2018-12-03 16:21
回复
没有更多了
发现更多内容

使用云服务器ECS搭建DoH服务的开发实践

阿里云弹性计算

征文投稿 玩转ECS DoH

【Zeekr_Tech】为自动驾驶保驾护航—谈谈主流中间件设计

Zeekr_Tech

自动驾驶 软件架构

数盾科技加入,携手龙蜥社区提升网络安全整体防护能力

OpenAnolis小助手

开源 网络安全 数盾科技 密码算法

区块链的支付模式

CECBC

我写的 Python 代码,同事都说好

AlwaysBeta

Python Pythonic

女性开发者为您解读数据库的未来机遇与挑战

亚马逊云科技 (Amazon Web Services)

Hero 专栏

数字人民币为全球CBDC监管提供宝贵经验

CECBC

面试官:你在项目中用过 多线程 吗?

田维常

Java 开发 多线程编发编程

技术平台&应用开发专题月 | 国产化替代的本质是价值替代

用友BIP

用友 用友iuap

都是让小程序在app运行,FinClip 与 uniapp有什么区别?

發財KK

小程序 uni-app 前端开发 sdk

超级app+轻应用=未来?

發財KK

移动应用 轻应用 快应用 App生态

Android技术分享|【自定义View】实现Material Design的Loading效果

anyRTC开发者

android 音视频 移动开发 自定义view loading

Linux之export命令

入门小站

在线Js,JavaScript压缩格式化工具

入门小站

工具

AI与开源的碰撞 昇思MindSpore TechDay直播来袭

极客天地

WebAssembly技术_在Web端运行C与C++程序(win10)

DS小龙哥

webassembly 3月月更

前Cisco思科首席工程师、Webex AV1第一人Thomas加入微帧科技!

微帧Visionular

视频编码

关注:车联网的数据安全问题

發財KK

车联网 物联网 数据安全 隐私安全 信息服务

小程序加入智能家居行业,共创未来美好生活

發財KK

物联网 小程序容器 智慧生活 全屋智能 智能家居生态平台

阿里云 VPC 内网性能测试最佳实践

阿里巴巴云原生

在线JSON转YAML工具

入门小站

工具

java高级用法之:在JNA中将本地方法映射到JAVA代码中

程序那些事

Java Netty 程序那些事 3月月更

去你的35岁危机|ONES 人物

万事ONES

程序员 ONES

cdr2022新版本号V24.0.0301简体语言新增功能

茶色酒

cdr2022

聊聊我对敏捷项目交付的理解

老张

交付质量 项目交付

面试官:你在项目中用过 多线程 吗?

田维常

面试 java面试

5G区块链技术让建水紫陶有了“身份证”

CECBC

最终信息模式:终结香农极限,语义通信的另类空间

脑极体

华为云企业级Redis揭秘第17期:集群搭载多DB,多租隔离更降本

华为云开发者联盟

数据库 redis 集群 GaussDB(for Redis) 多DB

阿里云云原生应用平台总经理丁宇:“连接、合作、赋能”,携手加速器伙伴助力企业云上创新

阿里巴巴云原生

元宇宙跟区块链的关系是什么呢?

CECBC

周下载量过200万的npm包被注入恶意代码,Vue、Node项目恐受影响_大前端_覃云_InfoQ精选文章