知名 NPM 包作者“自毁”开源项目:删库、注入恶意代码,数千个应用崩溃ing

最新推荐文章于 2023-12-27 11:37:01 发布
最新推荐文章于 2023-12-27 11:37:01 发布
阅读量249 收藏
点赞数
分类专栏: 前端 html 文章标签: vue.js 前端 javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_67402026/article/details/123322231
版权
JavaScript 开源库 faker.js 和 colors.js 的作者 Marak Squires 故意破坏自己的项目,导致数千个应用崩溃。事件起因可能与其财政困境和对大公司使用开源项目而不回馈的不满有关。尽管已有一些解决方案,但这引发了对开源开发者生存现状和开源精神的讨论。
摘要由CSDN通过智能技术生成

还记得去年年底令全球多数 Java 工程师深夜加班的 Apache Log4j 2 漏洞吗?彼时,发现最初只有 3 个人赞助该开源项目的事实令许多人受到冲击,甚至有人因此感慨道“这就是开源丑陋的一面”:当项目顺利进行时,一切都很好;而一旦项目出问题了,每个人都只会去抱怨项目背后的无偿维护者

Apache Log4j 2 漏洞发生至今已一月有余,目前尚未彻底平息。不曾想,上周又发生了一起令许多开发者“头秃”的开源事件:无数使用了流行开源 NPM 库 faker.js 和 colors.js 的项目一夜之间突然“变砖”,不断输出满屏乱码,而“罪魁祸首”竟是项目作者 Marak Squires 故意为之

一、程序出故障?项目作者故意“捣乱”

对许多 JavaScript 和 Node.js 开发者而言,faker.js 和 colors.js 这两个库应该并不陌生:

  • faker.js 用于在浏览器和 Node.js 中生成大量虚假数据,在 NPM 上每周下载量近 244 万。

在这里插入图片描述

  • colors.js,一个实现对颜色进行各种操作和计算的 JavaScript 库,每周下载量约 2314 万。

最低0.47元/天 解锁文章
m0_67402026
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
npm基于vite制作自己的npm+ts超详细
07-28
4. **npm**:Node Package Manager(npm)是JavaScript生态中的管理器,用于管理和分发开源代码库。在本项目中,npm用于安装依赖、发布和安装自定义播放器。 5. **vue-video-xg**:虽然未在描述中明确提及,但...
package-deployer:处理版本控制和自动部署的项目。 存在于 NPM 和 GitHub Action 中
07-24
NPM 部署机器人 :backhand_index_pointing_right: 自动化您的部署过程! :high_voltage: 快速开始 运行npm install npm-package-deployer :clapping_hands: 基本用法 运行deploy-pkg 在本地部署一个自动版本。 ...
周下载量过200万的npm注入恶意代码,Vue、Node项目恐受影响
weixin_33800463的博客
11-27 540
今天上午,小编在Twitter上刷出了这条推文,再翻看国内一些论坛,开发者已经有所讨论,小编在这里给大家整理一下。这篇推文及其附带的GitHub链接大体是说上周npm下载量超过200万的package被注入恶意代码,黑客利用该恶意代码访问热门JavaScript库,目标是copay(开源比特币钱)及其衍生产品的用户,以此窃取用户的数字货币。这个被注入恶意代码的package名为event-st...
npm管理机制引质疑:又一安装程序中发现恶意代码,开发者账户频遭劫持
量子位
07-29 278
铜灵 发自 凹非寺量子位 出品 | 公众号 QbitAInpm行不行,管理机制行不行?最新的一次npm被篡改事件,让开发者的这两个疑问更加强烈了。最新中枪的是纯函数式...
npm 模块删除
sylDownload的博客
05-02 394
npm uninstall -g <package> 全局模块删除npm uninstall 模块                    删除模块,不删除模块留在package.json中的对应信息npm uninstall 模块 --save         删除模块,同时删除模块留在package.json中dependencies下的对应信息npm uninstall 模块 --...
著名npm被毁,GitHub强烈谴责!开源作者因反俄给代码投毒遭猛烈抨击
HollisChuang's Blog
03-23 873
新智元报道编辑:桃子 拉燕【新智元导读】继此前faker.js开源作者删除所有代码后,近日,开源代码的维护者因反俄给node-ipc库中添加了恶意代码,遭到GitHub社区的强烈谴责。开发者自毁代码,只为不让俄罗斯人使用。据Github上发布的一份公告称,一位流行的开源软件的技术专家和维护者故意破坏了他们自己的代码。他们向非常受欢迎的node-ipc库中添加了恶意代码...
npm-statistics:NPM下载ClearTax开源项目的统计信息
02-03
npm统计 NPM下载ClearTax开源项目的统计信息。 每日更新。资料下载名称资料下载 29231227591353212967 12749 961744093893 和109157想使用npm-statistics吗? Fork此存储库。 将您的npm用户名/作者或package.json中...
alacritty-auto-config:Alacritty 终端仿真器的自动配置 NPM 库和 CLI-开源
06-04
这是一个小型库和可执行文件,用于通过提供功能自动配置 Alacritty。 它还具有 CLI 选项和可在任何项目中使用的 npm
typescript-starter:通过将代码拆分为不同的NPM来启动Typescript项目的简便方法
02-04
Typescript Monorepo启动器通过将代码拆分为不同的NPM来启动Typescript项目的简便方法。盒子里装了什么: Lerna的Monorepo设置Typescript项目的配置用于Typescript和Javascript的ESLint配置使代码看起来更漂亮...
月下载量千万的 npm 被黑客篡改,Vue 开发者可能正在遭受攻击
最新发布
wuli1024的博客
12-27 918
event-stream 被很多的前端流行框架和库使用,每月有几千万的下载量。
vue中使用faker库生成指定类型的随机数据
qq_45560350的博客
08-18 854
Faker.js 是十分流行的 Node.js 工具库,2022年初,Faker.js的作者突然删库跑路,导致众多应用程序崩溃,为了继续使用Faker的功能,社区的几位开发者组成团队决定创建并维护新项目faker-js/faker,现其已成为社区控制的项目,github地址为,官方文档地址。
不满当免费劳力,NPM 热门库 “colors” 和 “faker” 的作者设无限循环
smellycat000的专栏
01-10 1068
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士热门开源库 “colors” 和 “faker” 的用户发现使用这些库的应用程序打印垃圾数据并崩溃。是有人攻陷了NPM库?事实并没有这么...
攻击技术研判|见微知著,NPM软件供应链攻击赏析
wangluoanquan111的博客
08-20 207
本次事件是基于开源软件公共软件存储库的供应链攻击的典型案例,攻击者利用开发者对与第三方开源软件的盲目信任,部署窃取用户信息的后门木马。本次基于NPM的供应链攻击事件具有以下特点:1. 门槛低:任何注册了NPM账号的用户都可以上传发布自己开发的软件,缺乏必要的审核措施2. 数量大:虽然有恶意软件举报机制,但高达130万个三方软件的托管量导致缺乏有效及时的监管方法3. 少意识:开发者仅关注功能需求,缺乏对第三方库的源码加以甄别的安全意识与能力,随意地安装测试。
删除npm 库的组件
wp456789的博客
08-05 1118
删除npm 库的组件
npm的常用命令(更新依赖、删除依赖等)
格物致知
04-15 3万+
参考:http://blog.csdn.net/haidaochen/article/details/8546796 常用命令:http://blog.csdn.net/haidaochen/article/details/8546796 npm官方文档:https://docs.npmjs.com/
利用npm 安装删除模块
热门推荐
yihanzhi的博客
07-21 13万+
npm安装模块 【npm install xxx】利用 npm 安装xxx模块到当前命令行所在目录; 【npm install -g xxx】利用npm安装全局模块xxx; 本地安装时将模块写入package.json中: 【npm install xxx】安装但不写入package.json; 【npm install xxx –save】 安装并写入package.json的”depend
npm 卸载/安装指定版本的(库)
前端中的弟中之弟
04-01 3244
卸载库: npm uninstall vue-router 安装指定版本:npm install vue-router@3.5.3
npm删除组件库
戴戴的博客
03-15 1767
在做npm组件库时,会需要通过npm publish发布到仓库中进行自验,因此在开发到稳定的过程中,可能会出现多个有问题的版本,此时可以通过删除整个组件库,或者删除某个指定版本的方式来进行组件库的清理工作 删除整个组件库 cd到组件库的package.json文件的同级目录 npm unpublish --force //强制删除 删除某个版本 npm unpublish <组件名>@<版本号> <note> 对某个版本进行作废 npm deprecate <
python install packages failed_人人开源项目:npm install出现的问题解决思路
06-10
如果你的问题是关于人人开源项目npm install 出现的问题,我的建议如下: 1. 确保你的网络连接正常,并尝试重新安装。 2. 检查你的 package.json 文件,确保所有的依赖项都被正确地列出。 3. 尝试使用 `npm ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值