虽然你这么说,但我也一脸懵逼啊!开源JS库遭遇供应链攻击

栏目: JavaScript · 发布时间: 5年前

内容简介:近日一个开源JS库event-stream的repo中有人发布了题为I don’t know what to say.(不知道该说啥好了)的Issue。在Issue中发布者(FallingSnow)提到他发现代码中引用了一些恶意模块。上周便是有人发现了这段代码,但这段代码经过混淆无法判断其实际功能,最近两天才被安全人员判明真身:利用引用的外部恶意依赖库,它可以窃取用户Copay加密货币钱包中的密币。

虽然你这么说,但我也一脸懵逼啊!开源JS库遭遇供应链攻击

有用户在event-stream JS库内发现恶意代码

近日一个开源JS库event-stream的repo中有人发布了题为I don’t know what to say.(不知道该说啥好了)的Issue。在Issue中发布者(FallingSnow)提到他发现代码中引用了一些恶意模块。

上周便是有人发现了这段代码,但这段代码经过混淆无法判断其实际功能,最近两天才被安全人员判明真身:利用引用的外部恶意依赖库,它可以窃取用户Copay加密货币钱包中的密币。

目前已经确定引用的恶意依赖库为flatmap-stream,目前这个恶意模块也已经被作者删除,但还有个问题是:黑客是怎么进行这次供应链攻击的呢?

想着很难,做着很简单

得益于开源的优势,很容易就能看到Github用户@right9ctrl提交了这段恶意代码。然而引用的flatmap-stream库之前从未在npm中被下载过,结合他在event-stream中的一系列骚操作,可以知道这并非是操作失误,而是精心策划的一次攻击行为。

但黑客又是怎么获得这个JS库的权限呢?其实很简单,只要给当前维护者发个邮件就行了……

虽然你这么说,但我也一脸懵逼啊!开源JS库遭遇供应链攻击

之前的维护者也在Issue下回复,说他收到了邮件说有人想接管这个库,就把它拱手送人了,目前他也没有这个库的发布权限。

影响巨大

这个库下载量非常高,仅仅一周就有几百万次的下载,且恶意代码已经存在了接近三个月。在此事件曝出后,用户应及时查看自己的项目是否会受到影响,并及时更新相关依赖。

可利用如下代码判断当前依赖版本:

npm ls event-stream flatmap-stream

事件后续

之前的维护者表明自己并不会为此次事件负责,并质问其他开发人员如果他们对这种事很在意怎么自己不上却当键盘侠。

虽然你这么说,但我也一脸懵逼啊!开源JS库遭遇供应链攻击

后续也有开发人员回复,有人认为他仍要为这种公开的内容负责,也有人认为虽然他对此次事件不负责任,但仍应妥善处理权限并遵循相关开发规范。

虽然你这么说,但我也一脸懵逼啊!开源JS库遭遇供应链攻击

虽然你这么说,但我也一脸懵逼啊!开源JS库遭遇供应链攻击

参考链接

https://github.com/dominictarr/event-stream/issues/116


以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

软件测试经验与教训

软件测试经验与教训

Cem Kaner、James Bach、Bret Pettichord / 机械工业出版社 / 2004-1 / 35.00

本书汇总了293条来自软件测试界顶尖专家的经验与建议,阐述了如何做好测试工作、如何管理测试,以及如何澄清有关软件测试的常见误解,读者可直接将这些建议用于自己的测试项目工作中。这些经验中的每一条都是与软件测试有关的一个观点,观点后面是针对运用该测试经验的方法、时机和原因的解释或例子。 本书还提供了有关如何将本书提供的经验有选择性地运用到读者实际项目环境中的建议,在所有关键问题上所积累的经验,以......一起来看看 《软件测试经验与教训》 这本书的介绍吧!

随机密码生成器
随机密码生成器

多种字符组合密码

SHA 加密
SHA 加密

SHA 加密工具