页面加载中...

31 0
VIP荣誉会员 zhaorong  发表于 2018-11-27 16:42:53 | 显示全部楼层 |阅读模式
11月27日消息 event-stream包是一个流行的npm库,每周下载量在200万次以上,但现在
发现包含恶意代码,到目前为止已经有大约800万次的下载量,持续时间为2.5个月。npm
安全性问题爆发了。

20181127_143042_465.jpg


npm 是 JavaScript 世界的包管理工具,并且是 Node.js 平台的默认包管理工具
通过 npm 可以安装、共享、分发代码,管理项目依赖关系。

据开发者justjavac发布的消息,event-stream 事件已经在圈内刷屏。

event-stream被很多的前端流行框架和库使用,每月有几千万下载量。Vue的官方脚手架
vue-cli 中使用了该依赖,React 则躲过了此次影响。

flatmap-stream 中的恶意代码会扫描用户的 nodemodules 目录,因为所有从 npm 下载的
模块都会放在此目录。如果发现在 nodemodules 存在特定的模块,则将恶意代码注入进去
从而盗取用户的数字货币。

如果想查看自己的项目是否受到影响,可以运行:

  1. $ npm ls event-stream flatmap-stream
  2. ...
  3. flatmap-stream@0.1.1
复制代码


如果在输出里面包含了 flatmap-stream 则说明你也可能被攻击。

如果使用 yarn 则可以运行:

  1. $ yarn why flatmap - stream
复制代码

转载文章时务必注明原作者及原始链接,并注明「 发表于 电脑疯子技术论坛|电脑极客社区 」,并不得对作品进行修改。
共收到 0 个回复
快速回复
*滑动验证:
您需要登录后才可以回帖 登录 or 注册

本版积分规则 Command + Enter