前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >吃瓜群众带你了解 NMP 包 event-stream 被植入比特币后门的来龙去脉

吃瓜群众带你了解 NMP 包 event-stream 被植入比特币后门的来龙去脉

作者头像
前端开发博客
发布2020-11-04 11:33:30
6300
发布2020-11-04 11:33:30
举报
文章被收录于专栏:前端开发博客

据开发者justjavac发布的消息,event-stream 被植入比特币后门事件已经在圈内刷屏。

这个事件的起因是 event-stream 项目的作者由于时间和精力有限,将其维护工作交给了另一位开发者 Right9ctrl,该开发者获得了 event-stream 的控制权,将恶意代码注入。据报道,该恶意程序在默认情况下处于休眠状态,当 BitPay 的 Copay 钱包启动后,就会自动激活,它将会窃取用户钱包内的私钥并发送至 copayapi.host:8080。

event-stream包是一个Node.js 流数据的 JavaScript 软件包,每周下载量在200万次以上,截止到目前为止已经有大约800万次的下载量,持续时间为2.5个月。而且 Angular、Vue、Bootstrap、Gatsby 等都在使用 event-stream,所以使用这些库的开发者都应该检查一下自己是否受到了影响。

目前 npm 已经删除了带有恶意版本的 event-stream,如果你想继续使用 event-stream,可更新到最新版本的 event-stream 4.0.1。

如果想查看自己的项目是否受到影响,可以运行:

代码语言:javascript
复制
$ npm ls event-stream flatmap-stream
...
flatmap-stream@0.1.1
...

如果在输出里面包含了 flatmap-stream 则说明你也可能被攻击。

如果使用 yarn 则可以运行:

代码语言:javascript
复制
$ yarn why flatmap - stream

另外今天 Vue 作者尤雨溪(微博@尤小右)在微博回应表示:

关于 npm event-stream 包的安全问题,Vue CLI 对其依赖关系仅在用 UI 终止任务时存在,已创建项目通过纯 CLI 使用的不受影响。为彻底杜绝问题,建议重装全局的 @vue/cli。

最后,GitHub 的评论区都在争论开源项目作者是否应该对类似事件负责,因为它关乎上万开发者和项目的安全,而此事是作者的失职,对此,你怎么看?

GitHub 链接

https://github.com/dominictarr/event-stream/issues/116

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2018-11-27,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 前端开发博客 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档