相關推薦

月下載量千萬的npm包被黑客篡改,Vue開發者面臨攻擊

11月27日消息event-stream包是一個流行的npm庫,每週下載量在200萬次以上,但現在發現包含惡意代碼,到目前為止已經有大約800萬次的下載量,持續時間為2.5個月。npm安全性問題爆發了。

npm 是JavaScript 世界的包管理工具,並且是Node.js 平台的默認包管理工具。通過npm 可以安裝、共享、分發代碼,管理項目依賴關係。

據開發者justjavac發布的消息,event-stream 事件已經在圈內刷屏。

event-stream被很多的前端流行框架和庫使用,每月有幾千萬下載量。Vue的官方腳手架vue-cli 中使用了該依賴,React 則躲過了此次影響。

flatmap-stream 中的惡意代碼會掃描用戶的nodemodules 目錄,因為所有從npm 下載的模塊都會放在此目錄。如果發現在nodemodules 存在特定的模塊,則將惡意代碼注入進去,從而盜取用戶的數字貨幣。

如果想查看自己的項目是否受到影響,可以運行:

$ npm ls  event - stream flatmap - stream
 ... 
flatmap - [email protected] . 1.1 ...

如果在輸出裡麵包含了flatmap-stream 則說明你也可能被攻擊。

如果使用yarn 則可以運行:

$ yarn why flatmap  -  stream

为您推荐

發佈留言

联系我们

联系我们

工作时间:周一至周五,9:00-17:30,节假日休息

返回顶部