月下载量千万的npm包被黑客篡改

11月27日消息 event-stream包是一个盛行的npm库,每周下载量在200万次以上,但现在发明包孕恶意代码,到今朝为止已经有大年夜约800万次的下载量,持续光阴为2.5个月。npm安然性问题爆发了。

npm 是 Java 天下的担保理对象,并且是 Node.js 平台的默认担保理对象。经由过程 npm 可以安装、共享、分发代码,治理项目依附关系。

据开拓者justjavac宣布的消息,event-stream 事故已经在圈内刷屏。

event-stream被很多的前端盛行框架和库应用,每月有几切切下载量。Vue的官方脚手架 vue-cli 中应用了该依附,React 则躲过了这次影响。

flatmap-stream 中的恶意代码会扫描用户的 nodemodules 目录,由于所有从 npm 下载的模块都邑放在此目录。假如发明在 nodemodules 存在特定的模块,则将恶意代码注入进去,从而窃取用户的数字泉币。

[1] [2]下一页

假如想查看自己的项目是否受到影响,可以运行:

$ npm ls event-stream flatmap-stream … flatmap-stream@0.1.1 …

假如在输出里面包孕了 flatmap-stream 则阐明你也可能被进击。

假如应用 yarn 则可以运行:

$ yarn why flatmap – stream

上一页[1] [2]

赞(0) 打赏
分享到: 更多 (0)
免责申明:本站所有资料均来自于网络,版权归原创者所有!本站不提供任何保证,不保证真实性,并不承担任何法律责任

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

阿里云优惠网 更专业 更优惠

阿里云优惠券阿里云大礼包