周下载量过200万的npm包被注入恶意代码,Vue、Node项目恐受影响

最新推荐文章于 2024-04-29 21:35:15 发布
最新推荐文章于 2024-04-29 21:35:15 发布
阅读量453 收藏
点赞数
文章标签: 前端 javascript 区块链 ViewUI
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_33800463/article/details/89118820
版权

\"\"

今天上午,小编在Twitter上刷出了这条推文,再翻看国内一些论坛,开发者已经有所讨论,小编在这里给大家整理一下。

这篇推文及其附带的GitHub链接大体是说上周npm下载量超过200万的package被注入了恶意代码,黑客利用该恶意代码访问热门JavaScript库,目标是copay(开源比特币钱包)及其衍生产品的用户,以此窃取用户的数字货币。

这个被注入恶意代码的package名为event-stream,它是一个用于处理Node.js流数据的JavaScript 软件包,而且Angular、Vue、Bootstrap、Gatsby等都在使用event-stream,所以使用这些库的开发者都应该检查一下自己是否受到了影响。

如果你使用加密货币相关的库,并且运行npm ls event-stream flatmap-stream,出现flatmap-stream@0.1.1,如下所示:

$ npm ls event-stream flatmap-stream...flatmap-stream@0.1.1...

则代表你的项目很可能受到了影响。

这个事件的起因是event-stream项目的作者由于时间和精力有限,将其维护工作交给了另一位开发者Right9ctrl,该开发者获得了event-stream的控制权,将恶意代码注入。据报道,该恶意程序在默认情况下处于休眠状态,当BitPay的Copay钱包启动后,就会自动激活,它将会窃取用户钱包内的私钥并发送至copayapi.host:8080。

目前npm已经删除了带有恶意版本的event-stream,如果你想继续使用event-stream,可更新到最新版本的event-stream 4.0.1。

最后,GitHub的评论区都在争论开源项目作者是否应该对类似事件负责,因为它关乎上万开发者和项目的安全,而此事是作者的失职,对此,你怎么看?

GitHub链接

https://github.com/dominictarr/event-stream/issues/116

更多内容可关注前端之巅公众号(ID:frontshow)

\"\"

活动推荐

12月7日北京ArchSummit全球架构师峰会上,来自美团、百度、阿里、快手的讲师齐聚一堂,共同分享“打造Native体验Hybrid App实践”、“定制统一可维护的前端架构”、“10年双十一前端关键技术”和“同构Web App的另一种探索”等前端经验与实践。

详情请戳:
https://bj2018.archsummit.com/schedule?utm_source=wechat\u0026amp;utm_campaign=10\u0026amp;utm_medium=frontshow\u0026amp;utm_content=banner

weixin_33800463
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
nodenpm下载以及vue应用的创建过程.docx
08-10
这个资源是一个Microsoft Word文档(.docx),它描述了如何安装Node.js和npm,以及如何创建一个Vue应用的过程。 其中,Node.js是一个基于Chrome V8引擎的JavaScript运行时环境,它使得JavaScript可以在服务器端运行。...
恶意npm包提取开发人员的敏感数据
smellycat000的专栏
08-07 103
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士Phylum 公司的安全研究员在 npm 程序包注册表中发现了新的恶意包,可窃取开发人员的敏感信息。7月31日,研究员发现了 “test” 程序包,就在被删除的几小时后,它们被以不同的名称重新上传且“展示了不断增多的功能和优化”。虽然这一做法的目的尚不明确,但从 “rocketrefer”和 “binarium”等模块引用来看,似乎目标是密币行业...
NPM恶意中暗藏恶意软件 TurkoRat
smellycat000的专栏
05-23 525
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士npm 包仓库中存在两个恶意包,其中隐藏着开源的信息窃取恶意软件TurkoRat。这两个恶意包是 nodejs-encrypt-agent 和 nodejs-cookie-proxy-agent,总下载量约为1200次,在被找到前已存在两个多月的时间。ReveringLabs 公司指出,TurkoRat 是一款信息窃取工具,能够收割敏感信息如登录...
npm包管理机制引质疑:又一安装程序中发现恶意代码,开发者账户频遭劫持
量子位
07-29 261
铜灵 发自 凹非寺量子位 出品 | 公众 QbitAInpm行不行,包管理机制行不行?最新的一次npm包被篡改事件,让开发者的这两个疑问更加强烈了。最新中枪的是纯函数式...
如何查看自己NPM发布包的下载量
heartOfblack 离开了电脑,我不希望我还有病
01-05 9153
官方平台上只有短暂的统计,比如最后一天,最后一以及最后一个月的下载量。 想要看自己总的下载量,需要安装一个工具 npm i npm-user-downloads [-g] 安装完成后 输入命令: nud heartofblack last-month --limit=50 //heartofblack是我的NPM账户名,last-month是查询的时间,最后一个月 查询条件分为...
注意!恶意NPM包正在安装勒索软件和密码窃取木马
smellycat000的专栏
10-28 916
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士两个伪装成 Roblox 库的恶意NPM包正在用户机器上传播勒索软件和密码窃取木马。这两个包是 “noblox.js-proxy” 和 ...
知名 NPM 包作者“自毁”开源项目:删库、注入恶意代码,数千个应用崩溃ing
m0_67402026的博客
03-07 232
还记得去年年底令全球多数 Java 工程师深夜加班的 Apache Log4j 2 漏洞吗?彼时,发现最初只有 3 个人赞助该开源项目的事实令许多人受到冲击,甚至有人因此感慨道“这就是开源丑陋的一面”:当项目顺利进行时,一切都很好;而一旦项目出问题了,每个人都只会去抱怨项目背后的无偿维护者。 Apache Log4j 2 漏洞发生至今已一月有余,目前尚未彻底平息。不曾想,上又发生了一起令许多开发者“头秃”的开源事件:无数使用了流行开源 NPM 库 faker.js 和 colors.js 的项目一夜之间突
vue踩坑记-在项目中安装依赖模块npm install
10-17
主要介绍了vue踩坑记-在项目中安装依赖模块npm install错,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
使用命令行工具npm新创建一个vue项目的方法
10-18
Vue.js 提供一个官方命令行工具,可用于快速搭建大型单页应用。下面小编给大家分享使用命令行工具npm新创建一个vue项目的方法,需要的朋友参考下吧
下载Node,用npm,安装VUE
01-22
下载Node,用npm,安装VUE
eslint-scope-malware:最近的NPM恶意软件代码(https
05-02
ESLint范围 ESLint Scope是ESLint中使用的范围分析器。 这是的叉子。 用法 安装: npm i eslint-scope --save 例子: var eslintScope = require ( 'eslint-scope' ) ; var espree = require ( 'espree' ) ; var estraverse = require ( 'estraverse' ) ; var ast = espree . parse ( code ) ; var scopeManager = eslintScope . analyze ( ast ) ; var currentScope = scopeManager . acquire ( ast ) ; // global scope estraverse . traverse ( ast , {
top-npm-users:根据每月下载量生成npm顶级用户列表
05-14
top-npm-users( ) npm用户按其模块的每月下载量进行排序。 受启发 正在安装 npm i top-npm-users -g 用法 生成统计信息: top-npm-users calculate 生成降价: top-npm-users render 计数如何计算 top-npm-users使用遍历npm注册表并从提取统计信息。 执照 国际学习中心
npm的下载情况
Cool的博客
01-09 4943
https://npm-stat.com/
200 多个 npm 包被攻击,Azure 开发者请注意
CSDN资讯
03-25 3876
所幸,整套恶意软件包很快被 npm 维护者发现,所以这些软件包被迅速删除了。
下载量npm 包被黑客篡改,Vue 开发者可能正在遭受攻击
justjavac的专栏
11-27 959
今天早起看手机,结果发现我的微信群炸了,未读消息 999+,大家都在讨论 event-stream 事件。打开 twitter 也是被这个刷屏了。于是翻看了一下 GitH...
324、Vue学习笔记30 -【安全】 2020.04.21
youyouwuxin1234的博客
04-21 456
0、目录1、告安全漏洞2、第一原则:永远不要使用不可信任的模板3、Vue 的安全措施3.1 HTML 内容3.2 Attribute 绑定4、潜在危险4.1 注入 HTML4.2 注入 URL4.3 注入样式4.4 注入 JavaScript5、最佳实践6、后端协作7、服务端渲染 (SSR)8、参考链接 1、告安全漏洞 当我们收到一个安全漏洞告,将给予其最高优先级,并由全职贡献者停下...
安全通知|NPM官方仓库遭遇coa等恶意包投毒攻击
Tencent_SRC的博客
11-05 1494
腾讯洋葱入侵检测系统 七夜腾讯蓝军 & TSRC Silence腾讯宙斯盾流量安全分析团队 Pav1、余忆概述今天,腾讯洋葱入侵检测系统发现开源软件沙箱主机出现异常行为,跟进...
element-ui的bug记录
最新发布
nick_zhang的博客
04-29 455
7.el-dialog组件在关闭时,会触发子组件的created/mounted生命期。原因是当visible改变为false,即关闭dialog的时候,如果用户设置了destroyOnClose=true,则执行key++;key是绑定在较外层的div上的,key值的变化会导致这个div重新渲染。6.select 的 popper-append-to-body ,默认值为true;dialog的append-to-body,默认值为false;3.element表格前端分页。
arco design 初始化 Vue 项目中对Node.js 和 npm版本要求是什么
07-12
在使用 arco design 初始化 Vue 项目时,对 Node.js 和 npm 的版本有一定要求。具体要求如下: 1. Node.js 版本求:>= 10.0.0 你需要安装 Node.js,并且版本需要大于或等于 10.0.0。你可以使用 `node -v` 命令来...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值