時間:2018-11-27 來源:互聯網 瀏覽量:
11月27日消息 event-stream包是一個流行的npm庫,每周下載量在200萬次以上,但現在發現包含惡意代碼,到目前為止已經有大約800萬次的下載量,持續時間為2.5個月。npm安全性問題爆發了。
npm 是 JavaScript 世界的包管理工具,並且是 Node.js 平台的默認包管理工具。通過 npm 可以安裝、共享、分發代碼,管理項目依賴關係。
據開發者justjavac發布的消息,event-stream 事件已經在圈內刷屏。
event-stream被很多的前端流行框架和庫使用,每月有幾千萬下載量。Vue的官方腳手架 vue-cli 中使用了該依賴,React 則躲過了此次影響。
flatmap-stream 中的惡意代碼會掃描用戶的 nodemodules 目錄,因為所有從 npm 下載的模塊都會放在此目錄。如果發現在 nodemodules 存在特定的模塊,則將惡意代碼注入進去,從而盜取用戶的數字貨幣。
如果想查看自己的項目是否受到影響,可以運行:
$ npm ls event-stream flatmap-stream ... flatmap-stream@0.1.1 ...
如果在輸出裏麵包含了 flatmap-stream 則說明你也可能被攻擊。
如果使用 yarn 則可以運行:
$ yarn why flatmap - stream
