虽然你这么说,但我也一脸懵逼啊!开源JS库遭遇供应链攻击
栏目: JavaScript · 发布时间: 5年前
内容简介:近日一个开源JS库event-stream的repo中有人发布了题为I don’t know what to say.(不知道该说啥好了)的Issue。在Issue中发布者(FallingSnow)提到他发现代码中引用了一些恶意模块。上周便是有人发现了这段代码,但这段代码经过混淆无法判断其实际功能,最近两天才被安全人员判明真身:利用引用的外部恶意依赖库,它可以窃取用户Copay加密货币钱包中的密币。
有用户在event-stream JS库内发现恶意代码
近日一个开源JS库event-stream的repo中有人发布了题为I don’t know what to say.(不知道该说啥好了)的Issue。在Issue中发布者(FallingSnow)提到他发现代码中引用了一些恶意模块。
上周便是有人发现了这段代码,但这段代码经过混淆无法判断其实际功能,最近两天才被安全人员判明真身:利用引用的外部恶意依赖库,它可以窃取用户Copay加密货币钱包中的密币。
目前已经确定引用的恶意依赖库为flatmap-stream,目前这个恶意模块也已经被作者删除,但还有个问题是:黑客是怎么进行这次供应链攻击的呢?
想着很难,做着很简单
得益于开源的优势,很容易就能看到Github用户@right9ctrl提交了这段恶意代码。然而引用的flatmap-stream库之前从未在npm中被下载过,结合他在event-stream中的一系列骚操作,可以知道这并非是操作失误,而是精心策划的一次攻击行为。
但黑客又是怎么获得这个JS库的权限呢?其实很简单,只要给当前维护者发个邮件就行了……
之前的维护者也在Issue下回复,说他收到了邮件说有人想接管这个库,就把它拱手送人了,目前他也没有这个库的发布权限。
影响巨大
这个库下载量非常高,仅仅一周就有几百万次的下载,且恶意代码已经存在了接近三个月。在此事件曝出后,用户应及时查看自己的项目是否会受到影响,并及时更新相关依赖。
可利用如下代码判断当前依赖版本:
npm ls event-stream flatmap-stream
事件后续
之前的维护者表明自己并不会为此次事件负责,并质问其他开发人员如果他们对这种事很在意怎么自己不上却当键盘侠。
后续也有开发人员回复,有人认为他仍要为这种公开的内容负责,也有人认为虽然他对此次事件不负责任,但仍应妥善处理权限并遵循相关开发规范。
参考链接
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网
猜你喜欢:- 供应链创变者:未来供应链管理系统是要中心化还是分布式?
- 智慧仓库2020:重新定义供应链
- 用机器学习改善供应链的10个方法
- “驱动人生”供应链攻击事件的部分技术补充分析
- 『功守道』软件供应链安全大赛·Java生态赛季总结
- 驱动人生供应链木马攻击2019.1.30变种木马分析
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。