打印 上一主题 下一主题

【安全预警】JavaScript公共库event-stream被植入恶意代码

跳转到指定楼层
楼主
SetYun 发表于 2018-11-28 09:22:23 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

2018年11月27日,阿里云云盾应急响应中心监测到JavaScript公共库event-stream被植入恶意代码,该恶意代码专门针对窃取用户数字货币钱包。



漏洞描述

event-stream库是一个跨平台的JavaScript应用,使用非常广泛。近期,有恶意用户在event-stream的npm包中植入恶意代码,主要作用是窃取用户的钱包信息,包括私钥,并将其发送到copayapi.host的8080端口上,目前npm官网已经下架处理。




影响范围

Event-Stream 3.3.6版本




风险评级

高危




安全建议


可以通过如下方式对自己所使用的event-stream进行检测:

$ npm ls event-stream flatmap-stream...flatmap-stream@0.1.1...

可以对event-stream进行降级版本到3.3.4以缓解此事件带来的影响,命令:

$ npm install event-stream@3.3.4

再通过上述命令检测降级成功与否



官方链接

https://github.com/dominictarr/event-stream/issues/116




我们会关注后续进展,请随时关注官方公告。


回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|手机版|小黑屋|SetYun ( 辽ICP备16005250号

GMT+8, 2024-12-22 15:35 , Processed in 0.036570 second(s), 4 queries , File On.

Powered by Discuz! X3.3

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表