【安全预警】关于 npm 包 event-stream 被植入了恶意代码的安全通知

尊敬的腾讯云客户，您好：　　近日，腾讯云安全中心监测到流行前端框架广泛依赖的 event-stream 包被植入了恶意代码，可以被攻击者利用盗取用户的数字钱包信息，包括私钥等敏感信息。
       为避免您的业务受影响，腾讯云安全中心建议您及时开展安全自查，如在受影响范围，请您及时进行更新修复，避免被外部攻击者利用造成业务损失。


【漏洞详情】
event-stream 被包括 Vue 在内的多个流行的前端框架和库所依赖，event-stream 包被恶意攻击者添加一个新的 flatmap-stream 的依赖项，flatmap-stream 中的恶意代码会扫描用户的相关目录，将恶意代码注入到特定的模块中，从而盗取用户的数字钱包信息，包括私钥等敏感信息。

如果用户运行命令 "npm ls event-stream flatmap-stream" 后看到 "flatmap-stream@0.1.1"，说明被该问题影响。


【风险等级】
   中风险

【漏洞风险】
盗取用户数字货币钱包信息

【影响版本】
目前已知受影响版本如下：
event-stream@3.3.6
flatmap-stream@any

【安全版本】
event-stream@3.3.4


【修复建议】
  1）如果是 event-stream 直接使用者，可以对 event-stream 进行降级版本到 3.3.4 以缓解此事件带来的影响，降级方式如下：
npm install event-stream@3.3.4  2）如果是 Vue 使用者，由于 Vue CLI 对其依赖关系只存在于用 UI 终止任务的时候，已创建项目通过纯 CLI 使用的不受影响，为了彻底解决问题建议重装全局 @vue/cli 。

【漏洞参考】
1）问题细节：https://snyk.io/blog/malicious-code-found-in-npm-package-event-stream

2）Github Issues：https://github.com/dominictarr/event-stream/issues/115
3）Github Issues：https://github.com/dominictarr/event-stream/issues/116