月下载千万的 NPM 包被注入恶意攻击代码的背后技术故事

最新推荐文章于 2022-07-06 17:18:01 发布
最新推荐文章于 2022-07-06 17:18:01 发布
阅读量513 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yck199/article/details/103924159
版权

想必各位前几天都被这个新闻刷屏了,千万 NPM 包被篡改,项目存在安全风险。本着对技术的好奇,我也去了解了一下到底它攻击了什么、如何修复这个问题、有什么办法可以解决这种攻击方式。

代码到底攻击了什么

首先罪魁祸首是这个 flatmap-stream-0.1.1.tgz 包,他被 event-stream 这个包所依赖。event-stream 包的周下载量高达 180 万。在两个月前,这个含有攻击代码的包就被加入到依赖中,但是直到本月 20 号才爆发了关于这个包的讨论。

并且这个攻击包做的很鸡贼,如果你打开 flatmap-stream 的 Github 页面,会完全发现不到任何的问题,但是在 NPM 上,这个包却被加入了攻击代码。

那么接下来就来谈谈这个包到底攻击了什么。其实它的目标是 copay,这是一个比特币钱包软件。flatmap-stream 它会扫描你项目中的 node_modules 文件夹,如果有 copay 这个的话,他就可以取到 package.json 文件中的 description 字段,对应的

最低0.47元/天 解锁文章
yck 恺哥
关注
国内npm源镜像(npm加速下载
07-10
国内镜像源,国内npm源镜像(npm加速下载)淘宝 NPM 镜像:https://registry.npm.taobao.org 阿里云 NPM 镜像:https://npm.aliyun.com 腾讯云 NPM 镜像:https://mirrors.cloud.tencent.com/npm/ 华为云 NPM 镜像:...
下载千万npm 包被黑客篡改,Vue 开发者可能正在遭受攻击
justjavac的专栏
11-27 1190
今天早起看手机,结果发现我的微信群炸了,未读消息 999+,大家都在讨论 event-stream 事件。打开 twitter 也是被这个刷屏了。于是翻看了一下 GitH...
200 多个 npm 包被攻击,Azure 开发者请注意
CSDN资讯
03-25 4167
所幸,整套恶意软件包很快被 npm 维护者发现,所以这些软件包被迅速删除了。
查看vue项目依赖项有没有高危风险,查看包信息
qq_39704803的博客
08-27 449
npm audit
NPM 供应链攻击影响数百个网站和应用
smellycat000的专栏
07-06 550
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士专栏·供应链安全数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的...
安全通知|NPM官方仓库遭遇coa等恶意包投毒攻击
Tencent_SRC的博客
11-05 1608
腾讯洋葱入侵检测系统 七夜腾讯蓝军 & TSRC Silence腾讯宙斯盾流量安全分析团队 Pav1、余忆概述今天,腾讯洋葱入侵检测系统发现开源软件沙箱主机出现异常行为,跟进...
引入gitlab仓库代码npm包的教程.doc
07-11
引入 GitLab 仓库代码NPM 包的教程 本教程旨在指导开发人员如何将 GitLab 仓库中的代码引入到 NPM 包中,实现代码的私有化和保护。本教程将通过实例讲解如何创建一个私有的工具包项目,配置 SSH 密钥,提交代码...
npm-statistics:查找您的npm软件包下载统计信息
05-23
:dashing_away: Npm统计查找您的npm软件包下载统计信息。安装 $ npm i npm - statistics// or$ yarn add npm - statistics用法 const { getAll , getOne } = require ( 'npm-statistics' ) ;// orimport { getAll , ...
组件发布到npm,原工程代码
06-08
标题中的“组件发布到npm,原工程代码”指的是将一个软件开发中的独立可重用组件,打包并发布到npm(Node Package Manager)平台的过程。这个过程对于JavaScript开发者来说至关重要,因为npm是全球最大的开源库生态...
npm下载安装
11-05
在Windows上安装时务必选择全部组件,勾选Add to Path
spark2.2.0 kafka 0.10.2.1的createDirectStream第一次尝试
maketubu7的博客
08-07 958
1、这里简单记录一下 kafka的简单操作命令      创建Topic      $ bin/kafka-topics.sh --create --topic make2 --zookeeper make.spark.com:2181/kafka_10 --replication-factor 3 --partitions 3 --config max.message.bytes=128000...
攻击者“完全自动化”发动NPM供应链攻击
smellycat000的专栏
03-29 639
聚焦源代码安全,网罗国内外最新资讯!专栏·供应链安全数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的安全攻击事件一...
常见的Node.js攻击-恶意模块的危害
weixin_33851177的博客
06-05 1363
根据最近npm的一项安全性调查显示,77%的受访者对OSS/第三方代码的安全性表示担忧。本文将介绍关于这方面的内容,通过第三方代码引入应用程序的安全漏洞。具体来说,我们考虑被恶意引入的漏洞的场景。 我应该担心第三方模块吗? 你可能疑惑的第一件事是,是否需要担心恶意模块?程序员是一群非常友好的人,我们为什么要怀疑他们发布的模块呢?而且,如果npm上的每个包都是开源的,那么肯定有大量的眼睛来跟踪每一...
[译] 被污染的 npm 包:event-stream
weixin_33716557的博客
12-20 704
原文地址:Compromised npm Package: event-stream 原文作者:Thomas Hunter II 译文出自:掘金翻译计划 本文永久链接:github.com/xitu/gold-m… 译者:CoderMing 校对者:格子熊,caoyi 一个著名的 npm 包 event-stream 的作者,将其转让给了一个恶意用户 right9ctrl。这个包每个有...
MyApplication.zip
最新发布
09-24
MyApplication
嵌入式学习之基本型发射极耦合式多谐振荡器.zip
09-24
嵌入式学习,电子信息技术
基于麻雀搜索优化算法SSA-BiTCN-BiGRU-Attention的风电预测算法研究Matlab实现.rar
09-24
1.版本:matlab2014/2019a/2024a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 替换数据可以直接使用,注释清楚,适合新手
python广度优先搜索详细介绍.txt
09-24
python广度优先搜索详细介绍.txt
嵌入式学习之多谐—张弛振荡器.zip
09-24
嵌入式学习资料电子信息与技术
npm如何下载gitup得代码
05-23
要从Git仓库下载代码并使用npm进行安装,可以使用以下命令: ``` npm install git+https://github.com/username/repo.git ``` 其中,`username`是GitHub仓库的用户名,`repo`是仓库的名称。你需要将其替换为你要...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值