月下载量千万的npm包被黑客篡改,Vue开发者面临

2018-12-02 13:55:20 作者:骑士  阅读:100 次  点赞:0 次  鄙视:2 次  收藏:0 次  由 news1.669977.net 收集整理

IT之家11月27日消息 event-stream包是一个流行的npm库,每周下载量在200万次以上,但现在发现包含恶意代码,到目前为止已经有大约800万次的下载量,持续时间为2.5个月。npm安全性问题爆发了。

npm 是 JavaScript 世界的包管理工具,并且是 Node.js 平台的默认包管理工具。通过 npm 可以安装、共享、分发代码,管理项目依赖关系。

据开发者justjavac发布的消息,event-stream 事件已经在圈内刷屏。

event-stream被很多的前端流行框架和库使用,每月有几千万下载量。Vue的官方脚手架 vue-cli 中使用了该依赖,React 则躲过了此次影响。

flatmap-stream 中的恶意代码会扫描用户的 nodemodules 目录,因为所有从 npm 下载的模块都会放在此目录。如果发现在 nodemodules 存在特定的模块,则将恶意代码注入进去,从而盗取用户的数字货币。

如果想查看自己的项目是否受到影响,可以运行:

$ npm ls event-stream flatmap-stream...flatmap-stream@0.1.1...

如果在输出里面包含了 flatmap-stream 则说明你也可能被攻击。

如果使用 yarn 则可以运行:

$ yarn why flatmap - stream
本文关键词:npm , 代码

相关文章

X

新闻网上所有的内容均由网友收集整理,纯属个人爱好并供广大网友交流学习之用,作品版权均为原版权人所有。
如果版权所有人认为在本站放置您的作品会损害您的利益,请指出,新闻网在核实之后会立即删除。
免费安装(初次),免费升级,免费做Logo,并且,源码的问题都免费处理
本程序由 669977.net 开发并提供技术支持

桂ICP备13007271号-2

×

分享到微信朋友圈

扫描二维码在微信中分享