首页 > 资讯列表 > win10 >> win10

月下载量千万的npm包被黑客篡改,Vue开发者面临攻击

win10 2018-11-28 14:48:05 转载来源: IThome

站搜网 Win10 频道11月27日消息 event-stream包是一个流行的npm库,每周下载量在200万次以上,但现在发现包含恶意代码,到目前为止已经有大约800万次的下载量,持续时间为2.5个月。npm安全性问题爆发了

站搜网 Win10 频道11月27日消息 event-stream包是一个流行的npm库,每周下载量在200万次以上,但现在发现包含恶意代码,到目前为止已经有大约800万次的下载量,持续时间为2.5个月。npm安全性问题爆发了。

npm 是 JavaScript 世界的包管理工具,并且是 Node.js 平台的默认包管理工具。通过 npm 可以安装、共享、分发代码,管理项目依赖关系。

开发者justjavac发布的消息,event-stream 事件已经在圈内刷屏。

event-stream被很多的前端流行框架和库使用,每月有几千万下载量。Vue的官方脚手架 vue-cli 中使用了该依赖,React 则躲过了此次影响。

flatmap-stream 中的恶意代码会扫描用户的 nodemodules 目录,因为所有从 npm 下载的模块都会放在此目录。如果发现在 nodemodules 存在特定的模块,则将恶意代码注入进去,从而盗取用户的数字货币。

如果想查看自己的项目是否受到影响,可以运行:

$ npm ls event-stream flatmap-stream
...
[email protected]
...

如果在输出里面包含了 flatmap-stream 则说明你也可能被攻击

如果使用 yarn 则可以运行:

$ yarn why flatmap - stream

标签: 下载量 千万 npm 黑客 篡改 Vue 开发者 面临 攻击


声明:本文内容来源自网络,文字、图片等素材版权属于原作者,平台转载素材出于传递更多信息,文章内容仅供参考与学习,切勿作为商业目的使用。如果侵害了您的合法权益,请您及时与我们联系,我们会在第一时间进行处理!我们尊重版权,也致力于保护版权,站搜网感谢您的分享!

站长搜索

http://www.adminso.com

Copyright @ 2007~2024 All Rights Reserved.

Powered By 站长搜索

打开手机扫描上面的二维码打开手机版


使用手机软件扫描微信二维码

关注我们可获取更多热点资讯

站长搜索目录系统技术支持