11月27日消息 event-stream包是一個流行的npm庫,每周下載量在200萬次以上,但現在發現包含惡意代碼,到目前為止已經有大約800萬次的下載量,持續時間為2.5個月。npm安全性問題爆發了。
npm 是 JavaScript 世界的包管理工具,並且是 Node.js 平台的默認包管理工具。通過 npm 可以安裝、共享、分發代碼,管理項目依賴關係。
據開發者justjavac發布的消息,event-stream 事件已經在圈內刷屏。
event-stream被很多的前端流行框架和庫使用,每月有幾千萬下載量。Vue的官方腳手架 vue-cli 中使用了該依賴,React 則躲過了此次影響。
flatmap-stream 中的惡意代碼會掃描用戶的 nodemodules 目錄,因為所有從 npm 下載的模塊都會放在此目錄。如果發現在 nodemodules 存在特定的模塊,則將惡意代碼注入進去,從而盜取用戶的數字貨幣。
如果想查看自己的項目是否受到影響,可以運行:
$ npm ls event-stream flatmap-stream ... flatmap-stream@0.1.1 ...
如果在輸出裏麵包含了 flatmap-stream 則說明你也可能被攻擊。
如果使用 yarn 則可以運行:
$ yarn why flatmap - stream
相關資訊
最新熱門應用
defi去中心化交易所
其它軟件166.47M
下載易歐數字app官網安卓手機
其它軟件397.1MB
下載中幣交易所app蘋果手機
其它軟件77.35MB
下載yfii幣交易所app
其它軟件223.89MB
下載oke歐藝app官方
其它軟件397.1MB
下載比特國際資產交易所app
其它軟件163.20M
下載環球交易所app
其它軟件47.40MB
下載比安交易所官網app
其它軟件179MB
下載熱幣網交易所app官網版安卓
其它軟件287.27 MB
下載必安交易所app官網版安卓手機
其它軟件179MB
下載