開源專案event-stream被注入惡意程式碼,盜取區塊鏈錢包助記詞
阿新 • • 發佈:2018-12-25
我是今天上午朋友說的時候才發現的這個問題,
這篇推文及其附帶的 GitHub 連結大體是說每週 npm 下載量超過 200 萬的 package 被注入了惡意程式碼,黑客利用該惡意程式碼訪問熱門 JavaScript 庫,目標是 copay(開源比特幣錢包)及其衍生產品的使用者,以此竊取使用者的數字貨幣。
這個被注入惡意程式碼的 package 名為event-stream
,它是一個用於處理 Node.js 流資料的 JavaScript 軟體包,而且 Angular、Vue、Bootstrap、Gatsby 等都在使用 event-stream,所以使用這些庫的開發者都應該檢查一下自己是否受到了影響。
如果你使用加密貨幣相關的庫,並且執行npm ls event-stream flatmap-stream
,出現[email protected]
,如下所示:
npm ls event-stream flatmap-stream
如果出現:恭喜你的錢包中獎了
...
[email protected]
...
未中獎:
這個事件的起因是 event-stream 專案的作者由於時間和精力有限,將其維護工作交給了另一位開發者 Right9ctrl,該開發者獲得了 event-stream 的控制權,將惡意程式碼注入。據報道,該惡意程式在預設情況下處於休眠狀態,當 BitPay 的 Copay 錢包啟動後,就會自動啟用,它將會竊取使用者錢包內的私鑰併發送至 copayapi.host:8080。
目前 npm 已經刪除了帶有惡意版本的 event-stream,如果你想繼續使用 event-stream,可更新到最新版本的 event-stream 4.0.1
原文事件:https://github.com/dominictarr/event-stream/issues/116