JavaScript公共库event-stream被植入恶意代码

最新推荐文章于 2024-04-12 17:27:57 发布
最新推荐文章于 2024-04-12 17:27:57 发布
阅读量168 收藏
点赞数
原文链接:http://www.cnblogs.com/zhoudawei/p/10636017.html
版权

【安全预警】JavaScript公共库event-stream被植入恶意代码 

2018年11月27日,阿里云云盾应急响应中心监测到JavaScript公共库event-stream被植入恶意代码,该恶意代码专门针对窃取用户数字货币钱包。

  

漏洞描述

event-stream库是一个跨平台的JavaScript应用,使用非常广泛。近期,有恶意用户在event-stream的npm包中植入恶意代码,主要作用是窃取用户的钱包信息,包括私钥,并将其发送到copayapi.host的8080端口上,目前npm官网已经下架处理。

 

影响范围

Event-Stream 3.3.6版本

 

风险评级:高危

 

安全建议

 

针对NPM全局安装模式可使用以下命令对event-stream检测:

$ npm ls event-stream flatmap-stream -g
...
event-stream@3.3.6
flatmap-stream@0.1.1
...

可以对event-stream进行升级版本到最新4.0.1以修复此事件带来的影响,命令:

$ npm install event-stream@4.0.1 -g

再通过上述命令检测升级成功与否

  

阿里云云盾态势感知应急漏洞模块已支持对该漏洞一键检测,详情登陆云盾控制台

 

官方链接

https://github.com/dominictarr/event-stream/issues/116

 

我们会关注后续进展,请随时关注官方公告。

如有任何问题,可随时通过工单或服务电话95187联系反馈。

转载于:https://www.cnblogs.com/zhoudawei/p/10636017.html

weixin_30371875
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
express-eventstream:服务器发送的Express事件
04-30
入门如果在本地使用图钉,请记住通过将aco参数添加到路由配置文件来启用“自动跨站” 使用可选的GRIP配置创建events对象// server.jsconst expressEventStream = require('express-eventstream')const grip = ...
event-source-stream:EventSource在节点和浏览器中以可读流的形式实现
05-16
事件源流在节点中将实现为可读流 npm install event - source - stream用法 var ess = require ( 'event-source-stream' )ess ( 'http://server-sent-events-demo.herokuapp.com/update' ) . on ( 'data' , function...
基于Event Stream操作JSON
技术进步那些的事
06-12 2624
基于Event Stream处理JSON数据
JavaScript 事件流:事件捕获和事件冒泡的范围 | 事件监听
我是菜鸡
03-22 529
事情本来是这样的, 对于事件,微软认为应该是从内向外的,但是网景认为应该是从外向内的。最后w3c就制定了事件流分为三个阶段: 事件捕获:由外向内 事件目标 事件冒泡:由内向外,当子元素与父元素有相同的事件时,当子元素被触发时父元素也会被触发冒泡机制。 我这个文章主要是解释事件流的范围。 因为之前看到某大厂的面试题问到事件冒泡最后到哪里结束。我不知道答案,结果在网上查,答案也是没个准,只好自己动...
【JS】获取接口返回 EventStream 结构的数据(即接收读取 stream 流)
qq_45677671的博客
04-12 1019
前端获取接口返回 EventStream 结构的数据(即接收读取 stream 流)
基于nodejs实现text/event-stream简单应用案例,SSE
ta_huang的博客
06-08 2575
使用 text/event-stream,服务器可以实现与客户端的实时双向通信,通过推送事件来传递实时数据和状态变化。它与其他实时通信技术(如 WebSocket)相比,更适合于单向的服务器向客户端的通信场景,不支持客户端向服务器发送消息。它提供了一种简单的方式来实现服务器推送的功能,且在浏览器端的兼容性较好。是一种用于服务器向客户端推送事件的媒体类型(Media Type)。它是基于 HTTP 协议的一种流式传输技术,也被称为 Server-Sent Events(SSE
[译] 被污染的 npm 包:event-stream
weixin_33716557的博客
12-20 666
原文地址:Compromised npm Package: event-stream 原文作者:Thomas Hunter II 译文出自:掘金翻译计划 本文永久链接:github.com/xitu/gold-m… 译者:CoderMing 校对者:格子熊,caoyi 一个著名的 npm 包 event-stream 的作者,将其转让给了一个恶意用户 right9ctrl。这个包每个月有...
开源项目event-stream被注入恶意代码,盗取区块链钱包助记词
侞婼冇罪
11-28 1376
我是今天上午朋友说的时候才发现的这个问题, 这篇推文及其附带的 GitHub 链接大体是说每周 npm 下载量超过 200 万的 package 被注入了恶意代码,黑客利用该恶意代码访问热门 JavaScript ,目标是 copay(开源比特币钱包)及其衍生产品的用户,以此窃取用户的数字货币。 这个被注入恶意代码的 package 名为event-stream,它是一个用于处理 Node....
关于node依赖 event-stream 的3.3.6版本病毒
宋坚强大大~~
12-04 1764
event-stream这个,有很多比如vue-cli 、 gulp 之类的很多工具都在使用这个。 其实这个新闻在公布的第二天,我们就处理了,但是没来得及发文章。  事情的缘由是这样的: 2018年11月21日,名为 FallingSnow的用户在知名JavaScript应用event-stream在github Issuse中发布了针对植入恶意代码的疑问,表示event-st...
千万下载量开源软件托管给陌生人 植入恶意代码窃取用户密币
Fly_鹏程万里
12-03 406
0x00 事件背景 2018年11月21日,名为 FallingSnow的用户在知名JavaScript应用event-stream在github Issuse中发布了针对植入恶意代码的疑问,表示event-stream中存在用于窃取用户数字钱包的恶意代码。 360-CERT从该Issuse中得知,大约三个月前,由于缺乏时间和兴趣,event-stream原作者@dominictarr...
周下载量过200万的npm包被注入恶意代码,Vue、Node项目恐受影响
cpongo5
11-27 407
今天上午,小编在Twitter上刷出了这条推文,再翻看国内一些论坛,开发者已经有所讨论,小编在这里给大家整理一下。这篇推文及其附带的GitHub链接大体是说上周npm下载量超过200万的package被注入了恶意代码,黑客利用该恶意代码访问热门JavaScript,目标是copay(开源比特币钱包)及其衍生产品的用户,以此窃取用户的数字货币。这个被注入恶意代码的package名为event-st...
前端需要理解的 JavaScript 知识
薛定谔的猫-前端领域
08-24 664
如果是函数执行上下文则首先给当前执行上下文的变量对象添加形参及初始值,否则先添加函数声明(函数表达式属于后面的变量声明)及初始值,再添加变量声明(带声明 var/let/const 关键字的)及初始值,完成后被激活为。JavaScript(JS)是单线程的、基于原型的、弱类型的、动态类型的、轻量的、支持面向对象/命令式/声明式编程的、头等函数的、多范式的、解释性(直译式或即时编译)的、也可在非浏览器环境下使用的动态脚本语言。是与执行上下文相关的数据作用域,存储了在上下文中定义的变量和函数声明。
docker-event-stream:Docker 事件流
06-22
var eventStream = require ( 'docker-event-stream' ) eventStream({ host = process.env.DOCKER_HOST || '/var/run/docker.sock' , 因为 }, function(err, stream)) -> EventStream host :Docker 实例的地址,...
replay-event-stream:重放文件中的 EventStream 记录的服务器
06-12
模拟服务器,它在文件中重放 EventStream 记录。 用法 首先记录服务器发送的事件流: curl http://URL.OF.THE/STREAM > stream.txt 然后开始: replay-event-stream stream.txt 你可以只使用...
JavaScript日期date-fn.js使用方法解析
10-14
主要介绍了JavaScript日期date-fn.js使用方法解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
用AIDA模型,分析知乎、小红书和Facebook的广告效果.docx
06-02
用AIDA模型,分析知乎、小红书和Facebook的广告效果.docx
pd27.py1111111111111
最新发布
06-02
pd27.py1111111111111
234_基于微信小程序的车位预约系统的设计与实施-源码.zip
06-02
提供的源码资源涵盖了安卓应用、小程序、Python应用和Java应用等多个领域,每个领域都包含了丰富的实例和项目。这些源码都是基于各自平台的最新技术和标准编写,确保了在对应环境下能够无缝运行。同时,源码中配备了详细的注释和文档,帮助用户快速理解代码结构和实现逻辑。 适用人群: 这些源码资源特别适合大学生群体。无论你是计算机相关专业的学生,还是对其他领域编程感兴趣的学生,这些资源都能为你提供宝贵的学习和实践机会。通过学习和运行这些源码,你可以掌握各平台开发的基础知识,提升编程能力和项目实战经验。 使用场景及目标: 在学习阶段,你可以利用这些源码资源进行课程实践、课外项目或毕业设计。通过分析和运行源码,你将深入了解各平台开发的技术细节和最佳实践,逐步培养起自己的项目开发和问题解决能力。此外,在求职或创业过程中,具备跨平台开发能力的大学生将更具竞争力。 其他说明: 为了确保源码资源的可运行性和易用性,特别注意了以下几点:首先,每份源码都提供了详细的运行环境和依赖说明,确保用户能够轻松搭建起开发环境;其次,源码中的注释和文档都非常完善,方便用户快速上手和理解代码;最后,我会定期更新这些源码资源,以适应各平台技术的最新发展和市场需求。
axios post 接收响应格式为text/event-stream
05-26
如果你想要使用axios发送POST请求并接收响应格式为text/event-stream,可以使用axios的`responseType`配置项来设置响应类型。具体操作如下: ```javascript axios.post(url, data, { headers: { 'Content-Type': ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值