2018年11月27日,阿里云云盾应急响应中心监测到JavaScript公共库event-stream被植入恶意代码,该恶意代码专门针对窃取用户数字货币钱包。
漏洞描述
event-stream库是一个跨平台的JavaScript应用,使用非常广泛。近期,有恶意用户在event-stream的npm包中植入恶意代码,主要作用是窃取用户的钱包信息,包括私钥,并将其发送到copayapi.host的8080端口上,目前npm官网已经下架处理。
影响范围
Event-Stream 3.3.6版本
风险评级
高危
安全建议
可以通过如下方式对自己所使用的event-stream进行检测:
$ npm ls event-stream flatmap-stream...flatmap-stream@0.1.1...可以对event-stream进行降级版本到3.3.4以缓解此事件带来的影响,命令:
$ npm install event-stream@3.3.4再通过上述命令检测降级成功与否
官方链接
https://github.com/dominictarr/event-stream/issues/116
我们会关注后续进展,请随时关注官方公告。
| 欢迎光临 SetYun-教您优惠购买云主机! (http://news.setyun.cn/) | Powered by Discuz! X3.3 |