开源项目event-stream被注入恶意代码,盗取区块链钱包助记词

最新推荐文章于 2024-03-14 11:54:19 发布
最新推荐文章于 2024-03-14 11:54:19 发布
阅读量1.3k 收藏
点赞数
分类专栏: web前端 HebeBlock 文章标签: event-stream
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_26744901/article/details/84575864
版权

我是今天上午朋友说的时候才发现的这个问题,

这篇推文及其附带的 GitHub 链接大体是说每周 npm 下载量超过 200 万的 package 被注入了恶意代码,黑客利用该恶意代码访问热门 JavaScript 库,目标是 copay(开源比特币钱包)及其衍生产品的用户,以此窃取用户的数字货币。

这个被注入恶意代码的 package 名为event-stream,它是一个用于处理 Node.js 流数据的 JavaScript 软件包,而且 Angular、Vue、Bootstrap、Gatsby 等都在使用 event-stream,所以使用这些库的开发者都应该检查一下自己是否受到了影响。

如果你使用加密货币相关的库,并且运行npm ls event-stream flatmap-stream,出现flatmap-stream@0.1.1,如下所示:

npm ls event-stream flatmap-stream

如果出现:恭喜你的钱包中奖了

...
flatmap-stream@0.1.1
...

未中奖:

这个事件的起因是 event-stream 项目的作者由于时间和精力有限,将其维护工作交给了另一位开发者 Right9ctrl,该开发者获得了 event-stream 的控制权,将恶意代码注入。据报道,该恶意程序在默认情况下处于休眠状态,当 BitPay 的 Copay 钱包启动后,就会自动激活,它将会窃取用户钱包内的私钥并发送至 copayapi.host:8080。

目前 npm 已经删除了带有恶意版本的 event-stream,如果你想继续使用 event-stream,可更新到最新版本的 event-stream 4.0.1

原文事件:https://github.com/dominictarr/event-stream/issues/116

正在输入代码中
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【附带效果视频】php接口给前端返回流式数据,php使用event-stream进行数据推送,循环一次输出一次
G佳伟
05-17 566
背景:不分接口需要返回流式数据,循环一次输出一次数据。
码模块源码
12-08
为您提供取码模块源码下载,取码模块源码系统结构:取码,======窗口程序集1| || |------ 取码| || |------ _编辑框1_内容被改变
text/event-stream
liuzhenghua66的博客
10-07 4998
GPT火了之后,一种新的Http MediaType慢慢火了起来,它就是。这几种类型本质上都是客户端与服务端打开了一个长连接,服务端可以多次写入一部分数据给客户端,客户端可以多次读取,直到全部读取完成。由于ChatGPT的特性,如果需要生成的token较多,等它全部生成完成将消耗较多的时间,但是如果你将它生成过程中的数据源源不断地展示给用户,那么用户端的体验也不会差(类似于在线播放视频,不需要把整个视频下载完成才能播放)支持服务端分多次往客户端写内容。
event-stream: 用于Node.js的流处理库
最新发布
gitblog_00065的博客
03-14 815
event-stream: 用于Node.js的流处理库 简介 event-stream 是一个用于Node.js的流处理库,它提供了一系列有用的功能,如并行处理、合并流、缓冲等。 应用场景 event-stream 可以用于多种不同的场景,例如: 并行处理多个流 合并多个流为一个流 缓冲数据直到满足某个条件才发送 对流中的每个数据项应用函数 将流转换为另一种类型的流(例如将文本流转换为JSO...
[译] 被污染的 npm 包:event-stream
weixin_33716557的博客
12-20 683
原文地址:Compromised npm Package: event-stream 原文作者:Thomas Hunter II 译文出自:掘金翻译计划 本文永久链接:github.com/xitu/gold-m… 译者:CoderMing 校对者:格子熊,caoyi 一个著名的 npm 包 event-stream 的作者,将其转让给了一个恶意用户 right9ctrl。这个包每个月有...
区块链开源项目合集
01-08
在前面的文章中,咱们更偏向于金融方向的技术实践的案例和应用场景来谈区块链,但是往往有同学会问了,这些前沿...哈哈本篇文章是【区块链之技术实战】的第四篇文章,咱们就来扒一扒那些比较优秀的区块链开源项目,感兴
kafka-blockchain:基于Kafka的简单区块链的源代码-Blockchain source code
03-24
使用Apache Kafka构建简单区块链代码。 扩展以将Kafka用作消息传输。 先决条件 Python 3.6+ 环境设定 设置Python虚拟环境的方法有多种,一种是使用和pip: pyenv install 3.6.3 pyenv shell 3.6.3 mkvirtualenv ...
blockchain-java简易区块链项目-其他
06-12
blockchain-java是一个以Java实现的简易区块链(联盟链)项目,包括加密工具,钱包,P2P 传输,区块同步,POW 共识等基础实现。 单节点部署 这个很简单, 直接像运行普通的 SpringBoot 项目一样运行就好了,单节点...
eosio:EOS区块链钱包代码-Blockchain source code
03-24
注意 项目已移至新的存储库 eosio 该项目是从bepal硬件钱包中剥离出来的。 集成的合同。 跟进EOS并支持其他合同。
blockchain-java简易区块链项目 v1.2
11-03
为您提供blockchain-java简易区块链项目下载,blockchain-java是一个以Java实现的简易区块链(联盟链)项目,包括加密工具,钱包,P2P 传输,区块同步,POW 共识等基础实现。单节点部署这个很简单, 直接像运行普通的...
UWP开发之StreamSocket 开源 无需资源分
03-28
1、VS2017版本打开 2、StreamSocket属于UWP中的网络通信开发技术,UWP中的StreamSocket已具备很完整的网络通信能力,可适应网络开发中不同的开发需求。
django-eventstream:Django的服务器发送事件
04-29
Django EventStream EventStream为您的Django应用程序提供API终结点,可以将数据推送到连接的客户端。 数据使用服务器发送事件协议(SSE)发送,其中数据通过永无休止的HTTP响应流式传输。 例如,您可以创建一个端点/events/ ,客户端可以通过GET请求连接到该端点: GET /events/ HTTP/1.1 Host: api.example.com Accept: text/event-stream 客户端将收到流式HTTP响应,内容如下所示: HTTP/ 1.1 200 OK Transfer-Encoding: chunked Connection: Transfer-Encoding Content-Type: text/event-stream event: message data: {"foo": "bar"} event:
Python库 | event_stream-1.4.0-cp37-cp37m-win32.whl
04-22
资源分类:Python库 所属语言:Python 使用前提:需要解压 资源全名:event_stream-1.4.0-cp37-cp37m-win32.whl 资源来源:官方 安装方法:https://lanzao.blog.csdn.net/article/details/101784059
SpringBoot + 通义千问 + 自定义React组件,支持EventStream数据解析!
summon的博客
11-23 4421
大家好!我是sum墨,一个一线的底层码农,平时喜欢研究和思考一些技术相关的问题并整理成文,限于本人水平,如果文章和代码有表述不当之处,还请不吝赐教。最近ChatGPT非常受欢迎,尤其是在编写代码方面,我每天都在使用。随着使用时间的增长,我开始对其原理产生了一些兴趣。虽然我无法完全理解这些AI大型模型的算法和模型,但我认为可以研究一下其中的交互逻辑。特别是,我想了解它是如何实现在发送一个问题后不需要等待答案完全生成,而是通过不断追加的方式实现实时回复的。F12打开控制台后,我发现在点击发送后,它会发送一个普通
使用自定义流事件处理实现EventStream流式输出
lok_p的博客
12-21 1562
使用自定义流事件处理实现EventStream流式输出
python与java 爬取网页event-stream数据
qq_39991410的博客
02-15 3653
爬取网页event-stream数据
FastAPI实现event-stream响应式流式输出
人工智能
11-22 3180
代码】FastAPI实现event-stream响应式流式输出。
java接收text/event-stream格式数据
热门推荐
weixin_44981472的博客
04-28 1万+
java接收text/event-stream返回值和返回流式输出给前端,并且解决https不能接收和需要给前端问题
DevSecOps开源治理:从event-stream事件看演变与挑战
项目作者由于资源限制将维护权转移给了Right9ctrl,然而,这个决策导致了恶意代码注入,威胁到了用户的隐私安全。事件期间,event-stream包的下载量超过200万次,且影响时间长达2.5个月,显示出一个看似微小的开源...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值