虽然你这么说,但我也一脸懵逼啊!开源JS库遭遇供应链攻击

栏目: JavaScript · 发布时间: 5年前

内容简介:近日一个开源JS库event-stream的repo中有人发布了题为I don’t know what to say.(不知道该说啥好了)的Issue。在Issue中发布者(FallingSnow)提到他发现代码中引用了一些恶意模块。上周便是有人发现了这段代码,但这段代码经过混淆无法判断其实际功能,最近两天才被安全人员判明真身:利用引用的外部恶意依赖库,它可以窃取用户Copay加密货币钱包中的密币。

虽然你这么说,但我也一脸懵逼啊!开源JS库遭遇供应链攻击

有用户在event-stream JS库内发现恶意代码

近日一个开源JS库event-stream的repo中有人发布了题为I don’t know what to say.(不知道该说啥好了)的Issue。在Issue中发布者(FallingSnow)提到他发现代码中引用了一些恶意模块。

上周便是有人发现了这段代码,但这段代码经过混淆无法判断其实际功能,最近两天才被安全人员判明真身:利用引用的外部恶意依赖库,它可以窃取用户Copay加密货币钱包中的密币。

目前已经确定引用的恶意依赖库为flatmap-stream,目前这个恶意模块也已经被作者删除,但还有个问题是:黑客是怎么进行这次供应链攻击的呢?

想着很难,做着很简单

得益于开源的优势,很容易就能看到Github用户@right9ctrl提交了这段恶意代码。然而引用的flatmap-stream库之前从未在npm中被下载过,结合他在event-stream中的一系列骚操作,可以知道这并非是操作失误,而是精心策划的一次攻击行为。

但黑客又是怎么获得这个JS库的权限呢?其实很简单,只要给当前维护者发个邮件就行了……

虽然你这么说,但我也一脸懵逼啊!开源JS库遭遇供应链攻击

之前的维护者也在Issue下回复,说他收到了邮件说有人想接管这个库,就把它拱手送人了,目前他也没有这个库的发布权限。

影响巨大

这个库下载量非常高,仅仅一周就有几百万次的下载,且恶意代码已经存在了接近三个月。在此事件曝出后,用户应及时查看自己的项目是否会受到影响,并及时更新相关依赖。

可利用如下代码判断当前依赖版本:

npm ls event-stream flatmap-stream

事件后续

之前的维护者表明自己并不会为此次事件负责,并质问其他开发人员如果他们对这种事很在意怎么自己不上却当键盘侠。

虽然你这么说,但我也一脸懵逼啊!开源JS库遭遇供应链攻击

后续也有开发人员回复,有人认为他仍要为这种公开的内容负责,也有人认为虽然他对此次事件不负责任,但仍应妥善处理权限并遵循相关开发规范。

虽然你这么说,但我也一脸懵逼啊!开源JS库遭遇供应链攻击

虽然你这么说,但我也一脸懵逼啊!开源JS库遭遇供应链攻击

参考链接

https://github.com/dominictarr/event-stream/issues/116


以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

数码人类学

数码人类学

[英]丹尼尔·米勒、希瑟·A.霍斯特 / 王心远 / 人民出版社 / 2014-10 / 48.00元

人类学有两大任务,一是理解什么是人,二是理解人性是如何透过多元的文化表现出来。数码科技的蓬勃发展给这两者都带来了新的作用力。《数码人类学》向读者展示了人类与数码科技如何辩证地相互定义。最终我们试图得出一个结论,那便是“数码科技对人类到底意味着什么?” 从社交网站到数字化博物馆;从数字时代政治学到电子商务,浸润式的数码科技,给普通人的生活带来了根本性的改变。仅仅用数据来说明与理解问题显然过于太......一起来看看 《数码人类学》 这本书的介绍吧!

在线进制转换器
在线进制转换器

各进制数互转换器

随机密码生成器
随机密码生成器

多种字符组合密码

URL 编码/解码
URL 编码/解码

URL 编码/解码