主题 : 月下载量千万的npm包被黑客篡改,Vue开发者面临攻击
千山同一月 万户尽皆春 千江有水千江月 万里无云万里天
级别: 总版主

UID: 998
精华: 0
发帖: 604963
威望: 528524 点
无痕币: 3089 WHB
贡献值: 0 点
在线时间: 61673(时)
注册时间: 2008-12-25
最后登录: 2024-03-29

0 月下载量千万的npm包被黑客篡改,Vue开发者面临攻击

管理提醒: 本帖被 hexj9 从 『Windows 10 专区』 移动到本区(2018-11-28)
11月27日消息攀瘀攀渀琀-stream包是一个流行的npm库,每周下载量在200万次以上,但现在发现包含恶意代码,到目前为止已经有大约800万次的下载量,持续时间为2.5个月。npm安全性问题爆发了。

npm 是 JavaScript 世界的包管理工具,并且是 Node.js 平台的默认包管理工具。通过 npm 可以安装、共享、分发代码,管理项目依赖关系。
据开发者justjavac发布的消息,event-stream 事件已经在圈内刷屏。
event-stream被很多的前端流行框架和库使用,每月有几千万下载量。Vue的官方脚手架 vue-cli 中使用了该依赖,React 则躲过了此次影响。
flatmap-stream 中的恶意代码会扫描用户的 nodemodules 目录,因为所有从 npm 下载的模块都会放在此目录。如果发现在 nodemodules 存在特定的模块,则将恶意代码注入进去,从而盗取用户的数字货币。
如果想查看自己的项目是否受到影响,可以运行:
$渀瀀洀氀猀嬀/color]event-stream昀氀愀琀洀愀瀀嬀/color]-stream...flatmap-stream@0.1.1 ...[/pre]如果在输出里面包含了 flatmap-stream 则说明你也可能被攻击。
如果使用 yarn 则可以运行:
$礀愀爀渀眀栀礀昀氀愀琀洀愀瀀嬀/color]-猀琀爀攀愀洀嬀/color][/pre]
千山同一月 万户尽皆春 千江有水千江月 万里无云万里天
级别: 总版主

UID: 998
精华: 0
发帖: 604963
威望: 528524 点
无痕币: 3089 WHB
贡献值: 0 点
在线时间: 61673(时)
注册时间: 2008-12-25
最后登录: 2024-03-29

这个可以看看,了解一下。
十方秋水,漫长旅途.
级别: 十方秋水

UID: 116295
精华: 0
发帖: 111450
威望: 122808 点
无痕币: 4249 WHB
贡献值: 0 点
在线时间: 6088(时)
注册时间: 2011-03-27
最后登录: 2024-03-09

感谢楼主分享
级别: 三阵秋雨
UID: 294756
精华: 0
发帖: 244
威望: 493 点
无痕币: 862 WHB
贡献值: 0 点
在线时间: 86(时)
注册时间: 2017-11-26
最后登录: 2023-07-06

npm 可以安装、共享、分发代码
级别: 一轮秋月
UID: 292868
精华: 0
发帖: 39
威望: 115 点
无痕币: 364 WHB
贡献值: 0 点
在线时间: 4(时)
注册时间: 2017-10-29
最后登录: 2023-03-13

努力学习,感谢楼主分享
级别: 六行秋雁
UID: 293245
精华: 0
发帖: 20580
威望: 3718 点
无痕币: 48583 WHB
贡献值: 0 点
在线时间: 965(时)
注册时间: 2017-11-04
最后登录: 2019-04-19

              |    |    |
             )_)  )_)  )_)
            )___))___))___)\
           )____)____)_____)\\
         _____|____|____|____\\\__
---------\       --2019--         /---------
  ^^^^^ ^^^^^ ^^^^  ^^^^^^^  ^^^^^    ^^^
祝楼主和全体网友在新的一年乘风破浪,一路高升!
Total 0.045400(s) query 4, Time now is:03-29 00:45, Gzip enabled 粤ICP备07514325号-1
Powered by PHPWind v7.3.2 Certificate Code © 2003-13 秋无痕论坛