周下载量过200万的npm包被注入恶意代码,Vue、Node项目恐受影响
今天上午,小编在Twitter上刷出了这条推文,再翻看国内一些论坛,开发者已经有所讨论,小编在这里给大家整理一下。
这篇推文及其附带的GitHub链接大体是说上周npm下载量超过200万的package被注入了恶意代码,黑客利用该恶意代码访问热门JavaScript库,目标是copay(开源比特币钱包)及其衍生产品的用户,以此窃取用户的数字货币。
这个被注入恶意代码的package名为event-stream
,它是一个用于处理Node.js流数据的JavaScript 软件包,而且Angular、Vue、Bootstrap、Gatsby等都在使用event-stream,所以使用这些库的开发者都应该检查一下自己是否受到了影响。
如果你使用加密货币相关的库,并且运行npm ls event-stream flatmap-stream
,出现flatmap-stream@0.1.1
,如下所示:
$ npm ls event-stream flatmap-stream...flatmap-stream@0.1.1...
则代表你的项目很可能受到了影响。
这个事件的起因是event-stream项目的作者由于时间和精力有限,将其维护工作交给了另一位开发者Right9ctrl,该开发者获得了event-stream的控制权,将恶意代码注入。据报道,该恶意程序在默认情况下处于休眠状态,当BitPay的Copay钱包启动后,就会自动激活,它将会窃取用户钱包内的私钥并发送至copayapi.host:8080。
目前npm已经删除了带有恶意版本的event-stream,如果你想继续使用event-stream,可更新到最新版本的event-stream 4.0.1。
最后,GitHub的评论区都在争论开源项目作者是否应该对类似事件负责,因为它关乎上万开发者和项目的安全,而此事是作者的失职,对此,你怎么看?
GitHub链接
https://github.com/dominictarr/event-stream/issues/116
更多内容可关注前端之巅公众号(ID:frontshow)
活动推荐
12月7日北京ArchSummit全球架构师峰会上,来自美团、百度、阿里、快手的讲师齐聚一堂,共同分享“打造Native体验Hybrid App实践”、“定制统一可维护的前端架构”、“10年双十一前端关键技术”和“同构Web App的另一种探索”等前端经验与实践。
详情请戳:
https://bj2018.archsummit.com/schedule?utm_source=wechat\u0026amp;utm_campaign=10\u0026amp;utm_medium=frontshow\u0026amp;utm_content=banner
周下载量过200万的npm包被注入恶意代码,Vue、Node项目恐受影响相关推荐
- 攻击者接管账户,攻陷周下载量超700万次的JavaScript 流行库 ua-parser-js
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 专栏·供应链安全 数字化时代,软件无处不在.软件如同社会中的"虚拟人",已经成为支撑社会正常运转的最基本元素之一,软件的安全 ...
- PyPI 管理员删除已潜伏10个月且下载量超1万次的恶意包
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 PyPI 删除了部署恶意软件并窃取数据的三个软件包,它们的总下载量超过1万次.这三个恶意包通过typosquat合法包的名称诱骗用户. 01 & ...
- 下载量高达163万的易语言牛人写的一个超牛的软件(即将删除)
引自易语言论坛"毁人不倦"贴子(http://bbs.eyuyan.com/dispbbs.asp?boardid=124&id=180180): 在华军上突然发现一个下载 ...
- 购物兔下载量突破17万!
时间过得很快,都没有时间写日志了~ 2011-8-8号,购物兔下载量突破17万了,感谢大家的共同努力! 补回一贴以记之~ http://www.gouwutu.com
- 雅虎年底升级IPv6标准 100万用户恐受影响
雅虎年底升级IPv6标准 100万用户恐受影响 http://network.51cto.com 2011-01-20 17:34 佚名 cnBeta 我要评论(0) 据国外媒体报道,雅虎计划 ...
- “一键删除中国App”应用海外走红,下载量破500万!谷歌:我先把你删除了
有个专门"排挤"中国App的应用在海外突然火了起来. 这个应用叫"Remove China Apps"(删除中国App),它的功能就正如它的名字--扫描用户手机 ...
- 下载量超1600万的热门开源 JavaScript 序列化包中被曝 RCE 漏洞
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 最近,热门的开源NPM 包 serialize-javascript 中被指存在一个漏洞,可使攻击者执行远程代码. Serialize ...
- 开服8小时下载量破600万,App Store免费榜连续7天霸榜,摩尔庄园怎么就突然火了呢?
最近,有一档游戏可谓是热火朝天.家喻户晓,几乎每天都有与之相关的话题登上微博热搜,这档游戏可以说是真的火了. 今年的六一儿童节,曾经风靡一时的游戏 IP 摩尔庄园正式上线推出手游版本,上线当天,它便喜 ...
- Airbnb背后周下载量数百万的Eslint-Airbnb
背景: 好久没有写文章,今天看到一个比较劲爆的消息.Airbnb退出中国市场,我第一时间想到,有时间写下就下了这篇文章 Airbnb的发展介绍 Airbnb是AirBed and Breakfast( ...
最新文章
- 「数据科学家」必备的10种机器学习算法
- Java的poi的excel导入怎么判断日期格式的单元格
- MiniGUI+qvfb+Eclipse完成嵌入式系统图形开发(开发环境的搭建)
- 再试译ScottGu's Posts 之 VS2008之语言特性--查询语法--New Orcas Language Feature: Query Syntax...
- junit与testng 分别和mockito 结合使用例子
- python 线程超时设置_python 条件变量Condition(36)
- Magicodes.IE 2.5.6.2发布
- PCB genesis自制孔点 Font字体实现方法
- python做地图导航_「Python」利用高德地图做你想做之事
- 为什么有人说Java开发不再吃香
- 关于U-Net结构的更浅显更易懂的解释
- 基于matlab的光伏电池通用数学模型,基于MATLAB的光伏电池通用数学模型.doc
- AC日记——丢瓶盖 洛谷 P1316
- jQuery调用指定iframe页面内的方法
- NCBI基本引物设计、(初学者)
- Android4,flutter插件引用第三方库
- CMakeLists.txt 语法介绍与实例演练
- 用python一键生成动画(上)
- HTML特效代码大全(史上最全)
- PHP中文乱码的三个原因及解决方法