打印 上一主题 下一主题

【安全预警】关于 npm 包 event-stream 被植入了恶意代码的安全通知

跳转到指定楼层
楼主
SetYun 发表于 2018-11-28 09:29:57 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
尊敬的腾讯云客户,您好:  近日,腾讯云安全中心监测到流行前端框架广泛依赖的 event-stream 包被植入了恶意代码,可以被攻击者利用盗取用户的数字钱包信息,包括私钥等敏感信息。
       为避免您的业务受影响,腾讯云安全中心建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者利用造成业务损失。


【漏洞详情】
event-stream 被包括 Vue 在内的多个流行的前端框架和库所依赖,event-stream 包被恶意攻击者添加一个新的 flatmap-stream 的依赖项,flatmap-stream 中的恶意代码会扫描用户的相关目录,将恶意代码注入到特定的模块中,从而盗取用户的数字钱包信息,包括私钥等敏感信息。

如果用户运行命令 "npm ls event-stream flatmap-stream" 后看到 "flatmap-stream@0.1.1",说明被该问题影响。


【风险等级】
   中风险

【漏洞风险】
盗取用户数字货币钱包信息

【影响版本】
目前已知受影响版本如下:
event-stream@3.3.6
flatmap-stream@any

【安全版本】
event-stream@3.3.4


【修复建议】
  1)如果是 event-stream 直接使用者,可以对 event-stream 进行降级版本到 3.3.4 以缓解此事件带来的影响,降级方式如下:
npm install event-stream@3.3.4  2)如果是 Vue 使用者,由于 Vue CLI 对其依赖关系只存在于用 UI 终止任务的时候,已创建项目通过纯 CLI 使用的不受影响,为了彻底解决问题建议重装全局 @vue/cli 。

【漏洞参考】
1)问题细节:https://snyk.io/blog/malicious-code-found-in-npm-package-event-stream

2)Github Issues:https://github.com/dominictarr/event-stream/issues/115
3)Github Issues:https://github.com/dominictarr/event-stream/issues/116


回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|手机版|小黑屋|SetYun ( 辽ICP备16005250号

GMT+8, 2024-12-23 00:25 , Processed in 0.039632 second(s), 4 queries , File On.

Powered by Discuz! X3.3

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表