知名 NPM 包作者“自毁”开源项目:删库、注入恶意代码,数千个应用崩溃ing

最新推荐文章于 2024-10-25 17:28:54 发布
最新推荐文章于 2024-10-25 17:28:54 发布
阅读量268 收藏
点赞数
分类专栏: 前端 html 文章标签: vue.js 前端 javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_67402026/article/details/123322231
版权
JavaScript 开源库 faker.js 和 colors.js 的作者 Marak Squires 故意破坏自己的项目,导致数千个应用崩溃。事件起因可能与其财政困境和对大公司使用开源项目而不回馈的不满有关。尽管已有一些解决方案,但这引发了对开源开发者生存现状和开源精神的讨论。
摘要由CSDN通过智能技术生成

还记得去年年底令全球多数 Java 工程师深夜加班的 Apache Log4j 2 漏洞吗?彼时,发现最初只有 3 个人赞助该开源项目的事实令许多人受到冲击,甚至有人因此感慨道“这就是开源丑陋的一面”:当项目顺利进行时,一切都很好;而一旦项目出问题了,每个人都只会去抱怨项目背后的无偿维护者

Apache Log4j 2 漏洞发生至今已一月有余,目前尚未彻底平息。不曾想,上周又发生了一起令许多开发者“头秃”的开源事件:无数使用了流行开源 NPM 库 faker.js 和 colors.js 的项目一夜之间突然“变砖”,不断输出满屏乱码,而“罪魁祸首”竟是项目作者 Marak Squires 故意为之

一、程序出故障?项目作者故意“捣乱”

对许多 JavaScript 和 Node.js 开发者而言,faker.js 和 colors.js 这两个库应该并不陌生:

  • faker.js 用于在浏览器和 Node.js 中生成大量虚假数据,在 NPM 上每周下载量近 244 万。

在这里插入图片描述

  • colors.js,一个实现对颜色进行各种操作和计算的 JavaScript 库,每周下载量约 2314 万。

最低0.47元/天 解锁文章
m0_67402026
关注
专栏目录
vue2/3 - 解决报错 npm ERR! missing script: build(在vue2/vue3项目中,执行build将项目打时,出现报错missing script: build)
高级前端工程师
03-29 3666
vue2,vue3,npm run build,yarn build,项目打报错,vue项目build打错误提示missing script: build,vue打报错npm ERR! missing script: build,报错详细解决方法,打失败,build命令无法执行怎么办,vue执行bulid后没反应,vue报错,vite报错,webpack报错,vue项目打上线提示错误,如何解决missing script: build打错误,在vue2、vue3项目开发时,将项目打发布 bui
npm 安装指定版本(按版本安装)
热门推荐
日常笔记/总结/系列知识梳理
08-13 22万+
注解:比如, babel 是发布时,将 ES6 代码编译成 ES5 ,那么 babel 就是devDependencies。Vue项目中vue-router,由于发布之后还是依赖vue-router,所以是dependencies。
周下载量过200万的npm注入恶意代码,Vue、Node项目恐受影响
weixin_33800463的博客
11-27 609
今天上午,小编在Twitter上刷出了这条推文,再翻看国内一些论坛,开发者已经有所讨论,小编在这里给大家整理一下。这篇推文及其附带的GitHub链接大体是说上周npm下载量超过200万的package被注入恶意代码,黑客利用该恶意代码访问热门JavaScript库,目标是copay(开源比特币钱)及其衍生产品的用户,以此窃取用户的数字货币。这个被注入恶意代码的package名为event-st...
npm管理机制引质疑:又一安装程序中发现恶意代码,开发者账户频遭劫持
量子位
07-29 304
铜灵 发自 凹非寺量子位 出品 | 公众号 QbitAInpm行不行,管理机制行不行?最新的一次npm被篡改事件,让开发者的这两个疑问更加强烈了。最新中枪的是纯函数式...
npm 模块删除
sylDownload的博客
05-02 415
npm uninstall -g <package> 全局模块删除npm uninstall 模块                    删除模块,不删除模块留在package.json中的对应信息npm uninstall 模块 --save         删除模块,同时删除模块留在package.json中dependencies下的对应信息npm uninstall 模块 --...
著名npm被毁,GitHub强烈谴责!开源作者因反俄给代码投毒遭猛烈抨击
HollisChuang's Blog
03-23 915
新智元报道编辑:桃子 拉燕【新智元导读】继此前faker.js开源作者删除所有代码后,近日,开源代码的维护者因反俄给node-ipc库中添加了恶意代码,遭到GitHub社区的强烈谴责。开发者自毁代码,只为不让俄罗斯人使用。据Github上发布的一份公告称,一位流行的开源软件的技术专家和维护者故意破坏了他们自己的代码。他们向非常受欢迎的node-ipc库中添加了恶意代码...
开源项目event-stream被注入恶意代码,盗取区块链钱助记词
侞婼冇罪
11-28 1455
我是今天上午朋友说的时候才发现的这个问题, 这篇推文及其附带的 GitHub 链接大体是说每周 npm 下载量超过 200 万的 package 被注入恶意代码,黑客利用该恶意代码访问热门 JavaScript 库,目标是 copay(开源比特币钱)及其衍生产品的用户,以此窃取用户的数字货币。 这个被注入恶意代码的 package 名为event-stream,它是一个用于处理 Node....
vue-cli3封装组件库打并发布npm开源npm内网私有库
weixin_44183178的博客
03-19 3638
① 使用Vue-cli3搭建项目 vue create demo vue-cli3官方文档 注:cli3 提供一个可选的 vue.config.js 配置文件。如果这个文件存在则他会被自动加载,所有的对项目和webpack的配置,都在这个文件中。 新建vue.config.js配置文件:下面是一些通用配置 const path = require('path') module.exports = { // 部署应用时的基本 URL,用法和 webpack 本身的 output.publicPa
微信小程序 - 详细解决构建npm报错:没有找到可以构建的 NPM ,请确认需要参与构建的 npm 都在 `miniprogramRoot` 目录内,或配置 project.config.json
最新发布
王佳斌
10-25 4551
微信小程序,vue2,vue3,构建npm功能出错,微信开发者工具构建NPM失败,解决没有找到可以构建的 NPM ,请确认需要参与构建的 npm 都在 miniprogramRoot` 目录内,或配置 project.config.json,新建Ts小程序模版构建npm错误 ,微信小程序npm安装vant weapp组件库无法构建npm,微信小程序引入腾讯tdesign UI组件库时出现构建npm失败并提示,yarn安装引入第三方插件后无法构建怎么办,没有找到可以构建的 NPM ,详细解决方案,改了配置
不满当免费劳力,NPM 热门库 “colors” 和 “faker” 的作者设无限循环
smellycat000的专栏
01-10 1110
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士热门开源库 “colors” 和 “faker” 的用户发现使用这些库的应用程序打印垃圾数据并崩溃。是有人攻陷了NPM库?事实并没有这么...
月下载量千万的 npm 被黑客篡改,Vue 开发者可能正在遭受攻击
wuli1024的博客
12-27 959
event-stream 被很多的前端流行框架和库使用,每月有几千万的下载量。
vue中使用faker库生成指定类型的随机数据
qq_45560350的博客
08-18 966
Faker.js 是十分流行的 Node.js 工具库,2022年初,Faker.js的作者突然删库跑路,导致众多应用程序崩溃,为了继续使用Faker的功能,社区的几位开发者组成团队决定创建并维护新项目faker-js/faker,现其已成为社区控制的项目,github地址为,官方文档地址。
攻击技术研判|见微知著,NPM软件供应链攻击赏析
wangluoanquan111的博客
08-20 257
本次事件是基于开源软件公共软件存储库的供应链攻击的典型案例,攻击者利用开发者对与第三方开源软件的盲目信任,部署窃取用户信息的后门木马。本次基于NPM的供应链攻击事件具有以下特点:1. 门槛低:任何注册了NPM账号的用户都可以上传发布自己开发的软件,缺乏必要的审核措施2. 数量大:虽然有恶意软件举报机制,但高达130万个三方软件的托管量导致缺乏有效及时的监管方法3. 少意识:开发者仅关注功能需求,缺乏对第三方库的源码加以甄别的安全意识与能力,随意地安装测试。
删除npm 库的组件
wp456789的博客
08-05 1137
删除npm 库的组件
npm的常用命令(更新依赖、删除依赖等)
格物致知
04-15 3万+
参考:http://blog.csdn.net/haidaochen/article/details/8546796 常用命令:http://blog.csdn.net/haidaochen/article/details/8546796 npm官方文档:https://docs.npmjs.com/
利用npm 安装删除模块
yihanzhi的博客
07-21 13万+
npm安装模块 【npm install xxx】利用 npm 安装xxx模块到当前命令行所在目录; 【npm install -g xxx】利用npm安装全局模块xxx; 本地安装时将模块入package.json中: 【npm install xxx】安装但不入package.json; 【npm install xxx –save】 安装并入package.json的”depend
npm 卸载/安装指定版本的(库)
前端中的弟中之弟
04-01 3333
卸载库: npm uninstall vue-router 安装指定版本:npm install vue-router@3.5.3
npm删除组件库
戴戴的博客
03-15 1823
在做npm组件库时,会需要通过npm publish发布到仓库中进行自验,因此在开发到稳定的过程中,可能会出现多个有问题的版本,此时可以通过删除整个组件库,或者删除某个指定版本的方式来进行组件库的清理工作 删除整个组件库 cd到组件库的package.json文件的同级目录 npm unpublish --force //强制删除 删除某个版本 npm unpublish <组件名>@<版本号> <note> 对某个版本进行作废 npm deprecate <
贝岭matlab代码开源项目:C'est Belle Events Web展示
- cest.github.io-main:文件名暗示了一个主分支的名称,这表明了代码库中的主要分支或主项目目录,其中可能含构建和运行应用程序所需的核心文件和资源。 总结: 通过该项目的介绍,我们可以了解到一个基于Matlab...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值