首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >【风险预警】event-stream恶意代码植入预警通告

【风险预警】event-stream恶意代码植入预警通告

作者头像
绿盟科技安全情报
发布2019-10-24 11:49:24
7500
发布2019-10-24 11:49:24
举报

预警编号:NS-2018-0037

2018-11-28

TAG:

npm、 event-stream、恶意代码植入、信息窃取

危害等级:

高,event-stream应用广泛,已经累计超过2000万次下载。

版本:

1.0

1

风险概述

近日,JavaScript应用库event-stream中被植入了恶意模块flatmap-stream,该恶意模块可窃取秘钥等隐私信息。

event-stream是一个用于处理Node.js流数据的npm包。此次事件是由于event-stream原作者没有精力进行更新,将开发维护权限交于陌生人而导致。目前NPM官方已发布安全通告,并下架了恶意模块flatmap-stream。根据官方的统计,恶意的event-stream版本已经累计超过2000万次下载,影响范围广,请相关用户尽快进行自查,并采取防护措施,以减少损失。

参考链接:

https://snyk.io/blog/malicious-code-found-in-npm-package-event-stream

SEE MORE →

2影响范围

受影响版本

  • event-stream 3.3.6
  • flatmap-stream所有版本
  • Copay < 5.2.2

不受影响版本

  • event-stream 3.3.4
  • Copay 5.2.2

备注:Copay是比特币钱包项目,由于该项目使用了event-stream,因此受到该事件影响,目前部分用户的比特币钱包因为该恶意模块已经被泄露到copayapi.host:8080,最新的Copay 5.2.2已经去除了对event-stream的依赖,建议相关用户及时升级。

3漏洞排查

由于很多流行的应用都引用了event-stream,如nodemon、ps-tree,建议相关用户及时进行自查,用户可通过如下命令判断当前系统是否受影响:

$ npm ls event-stream flatmap-stream

执行完上述命令后,如出现event-stream@3.3.6和flatmap-stream相关的信息,则说明存在风险。

└─┬ npm-run-all@4.1.3 └─┬ ps-tree@1.1.0 └─┬ event-stream@3.3.6 └──flatmap-stream@0.1.2

4漏洞防护

针对此威胁,建议用户将event-stream回退到3.3.4版本,命令参考如下:

npm install event-stream@3.3.4

END

作者:绿盟科技安全服务部

声明

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。

绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。

本文参与 腾讯云自媒体分享计划,分享自微信公众号。
原始发表:2018-11-28,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 绿盟科技CERT 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体分享计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
相关产品与服务
区块链
云链聚未来,协同无边界。腾讯云区块链作为中国领先的区块链服务平台和技术提供商,致力于构建技术、数据、价值、产业互联互通的区块链基础设施,引领区块链底层技术及行业应用创新,助力传统产业转型升级,推动实体经济与数字经济深度融合。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档