写点什么

周下载量过 200 万的 npm 包被注入恶意代码,Vue、Node 项目恐受影响

  • 2018-11-27
  • 本文字数:885 字

    阅读完需:约 3 分钟

周下载量过200万的npm包被注入恶意代码,Vue、Node项目恐受影响


今天上午,小编在 Twitter 上刷出了这条推文,再翻看国内一些论坛,开发者已经有所讨论,小编在这里给大家整理一下。


这篇推文及其附带的 GitHub 链接大体是说上周 npm 下载量超过 200 万的 package 被注入了恶意代码,黑客利用该恶意代码访问热门 JavaScript 库,目标是 copay(开源比特币钱包)及其衍生产品的用户,以此窃取用户的数字货币。


这个被注入恶意代码的 package 名为event-stream,它是一个用于处理 Node.js 流数据的 JavaScript 软件包,而且 Angular、Vue、Bootstrap、Gatsby 等都在使用 event-stream,所以使用这些库的开发者都应该检查一下自己是否受到了影响。


如果你使用加密货币相关的库,并且运行npm ls event-stream flatmap-stream,出现flatmap-stream@0.1.1,如下所示:


$ npm ls event-stream flatmap-stream...flatmap-stream@0.1.1...
复制代码


则代表你的项目很可能受到了影响。


这个事件的起因是 event-stream 项目的作者由于时间和精力有限,将其维护工作交给了另一位开发者 Right9ctrl,该开发者获得了 event-stream 的控制权,将恶意代码注入。据报道,该恶意程序在默认情况下处于休眠状态,当 BitPay 的 Copay 钱包启动后,就会自动激活,它将会窃取用户钱包内的私钥并发送至 copayapi.host:8080。


目前 npm 已经删除了带有恶意版本的 event-stream,如果你想继续使用 event-stream,可更新到最新版本的 event-stream 4.0.1。


最后,GitHub 的评论区都在争论开源项目作者是否应该对类似事件负责,因为它关乎上万开发者和项目的安全,而此事是作者的失职,对此,你怎么看?

GitHub 链接

https://github.com/dominictarr/event-stream/issues/116


更多内容可关注前端之巅公众号(ID:frontshow)


活动推荐

12 月 7 日北京 ArchSummit 全球架构师峰会上,来自美团、百度、阿里、快手的讲师齐聚一堂,共同分享“打造 Native 体验 Hybrid App 实践”、“定制统一可维护的前端架构”、“10 年双十一前端关键技术”和“同构 Web App 的另一种探索”等前端经验与实践。


详情请戳:


https://bj2018.archsummit.com/schedule?utm_source=wechat&utm_campaign=10&utm_medium=frontshow&utm_content=banner


2018-11-27 13:254553
用户头像

发布了 83 篇内容, 共 50.6 次阅读, 收获喜欢 187 次。

关注

评论 2 条评论

发布
用户头像
1
2018-12-03 16:21
回复
没有更多了
发现更多内容

JVM中栈的frames详解

程序那些事

JVM 堆栈 性能调优 JIT GC

还在划水?这个SQL你能写出来吗?

书旅

php MySQL SQL语法 sql查询

mac vmware centos7 设置静态IP

愤毛阿青

network vmware Centos 7

开发者必备——IDEA配置清单

Noneplus

配置 IDEA

数据结构与算法知识点总结

烟雨濛濛

Python中的@staticmethod和@classmethod的区别

BigYoung

Python classmethod staticmethod

关于计划的思考

zhongzhq

信创舆情一线--《关键信息基础设施安全保护条例》纳入2020年立法计划

统小信uos

信息安全

Java集合总结,从源码到并发一路狂飙

给你买橘子

Java 编程 算法 集合

Tomcat8.5源码构建

知春秋

tomcat tomcat构建 tomcat源码解读 tomcat剖析

Redis进阶篇三——主从复制

多选参数

redis redis高可用 redis6.0.0 Redis项目

不是完成你学习的 KPI ,而是要形成指导你行动的 OKR

非著名程序员

学习 程序员 提升认知 知识管理

一文看懂 OAuth2

Geek_z9ygea

Java 大前端 Web oauth2.0

浅析 VO、DTO、DO、PO 的概念、区别和用处!

Java小咖秀

学习 设计模式 模型 经验分享

工厂方法模式

Leetao

Python 设计模式 工厂方法模式

​区块链技术的重要性

CECBC

推荐一款Python开源库,技术人必备的造数据神器!

狂师

Python 开源 自动化 开发工具 开发数据

漫画 | 架构设计中的那些事

码农神说

架构设计 架构师 漫画编程

SpringBoot入门:00 - 初始化项目

封不羁

Spring Boot java 14

一些思考

张健

性能碾压 POI !利用模板语法快速生成 Excel 报表

葡萄城技术团队

表格控件 GCExcel 服务器端开发

重学 Java 设计模式:实战访问者模式「模拟家长与校长,对学生和老师的不同视角信息的访问场景」

小傅哥

设计模式 小傅哥 重构 代码优化 访问者模式

字节跳动面试经验分享,已拿 Offer!

伍陆柒

Java 面试 大厂

Python类中的__new__和__init__的区别

BigYoung

Python __init__ __new__

带你解析MySQL binlog

Simon

MySQL Binlog

Linux 进程必知必会

苹果看辽宁体育

Linux 操作系统

Rust是如何保障内存安全的

博文视点Broadview

读书笔记 rust

猿灯塔:spring Boot Starter开发及源码刨析(二)

猿灯塔

Java 猿灯塔 源码刨析

30 张图带你分分钟看懂进程和线程基础知识全家桶

爱嘤嘤嘤斯坦

Java 线程 进程 进程线程区别

Node.js与二进制数据流

自然醒

Java node.js 大前端 二进制

图片处理不用愁,给你十个小帮手

阿宝哥

Java 开源 大前端 工具 图片

周下载量过200万的npm包被注入恶意代码,Vue、Node项目恐受影响_大前端_覃云_InfoQ精选文章