月下载量千万的npm包被黑客篡改，Vue开发者面临攻击

zhaorong · 发表于 windows应用教程 2018-11-27 16:42:53


	11月27日消息 event-stream包是一个流行的npm库，每周下载量在200万次以上，但现在发现包含恶意代码，到目前为止已经有大约800万次的下载量，持续时间为2.5个月。npm 安全性问题爆发了。 npm 是 JavaScript 世界的包管理工具，并且是 Node.js 平台的默认包管理工具通过 npm 可以安装、共享、分发代码，管理项目依赖关系。据开发者justjavac发布的消息，event-stream 事件已经在圈内刷屏。 event-stream被很多的前端流行框架和库使用，每月有几千万下载量。Vue的官方脚手架 vue-cli 中使用了该依赖，React 则躲过了此次影响。 flatmap-stream 中的恶意代码会扫描用户的 nodemodules 目录，因为所有从 npm 下载的模块都会放在此目录。如果发现在 nodemodules 存在特定的模块，则将恶意代码注入进去从而盗取用户的数字货币。如果想查看自己的项目是否受到影响，可以运行： $ npm ls event-stream flatmap-stream ... flatmap-stream@0.1.1 复制代码如果在输出里面包含了 flatmap-stream 则说明你也可能被攻击。如果使用 yarn 则可以运行： $ yarn why flatmap - stream 复制代码