网创优客建站品牌官网
为成都网站建设公司企业提供高品质网站建设
热线:028-86922220
成都专业网站建设公司

定制建站费用3500元

符合中小企业对网站设计、功能常规化式的企业展示型网站建设

成都品牌网站建设

品牌网站建设费用6000元

本套餐主要针对企业品牌型网站、中高端设计、前端互动体验...

成都商城网站建设

商城网站建设费用8000元

商城网站建设因基本功能的需求不同费用上面也有很大的差别...

成都微信网站建设

手机微信网站建站3000元

手机微信网站开发、微信官网、微信商城网站...

建站知识

当前位置:首页 > 建站知识

JavaScript公共库event-stream被植入恶意代码预警的示例分析

这篇文章给大家介绍JavaScript公共库event-stream被植入恶意代码预警的示例分析,内容非常详细,感兴趣的小伙伴们可以参考借鉴,希望对大家能有所帮助。

成都创新互联主营淮阳网站建设的网络公司,主营网站建设方案,成都app软件开发公司,淮阳h5微信小程序搭建,淮阳网站营销推广欢迎淮阳等地区企业咨询

0x00 事件背景

2018年11月21日,名为FallingSnow的用户在知名JavaScript应用库event-stream在github Issuse中发布了针对植入的恶意代码的疑问,表示event-stream中存在用于窃取用户数字钱包的恶意代码。

360-CERT从该Issuse中得知,大约三个月前,由于缺乏时间和兴趣,event-stream原作者@dominictarr将其开发交给另一位名为@Right9ctrl的程序员。

随后,Right9ctrl发布了包含新依赖关系的Event-Stream 3.3.6 - Flatmap-Stream0.1.1。
其中,Flatmap-Stream v0.1.1 正是是包含恶意代码的npm package。
据分析,该package中的恶意代码主要作用是:它将窃取用户的钱包信息,包括私钥,并将其发送到copayapi.host的8080端口上,目前npm官网已经下架处理。

在实际生产应用中,event-stream库属于一个跨平台的应用,影响面会比较广泛。
360-CERT建议相关用户,特别是互联网相关的企业,应该针对自身IDC线上环境、办公网环境进行安全评估。

0x01 影响范围

Event-Stream 3.3.6版本

JavaScript公共库event-stream被植入恶意代码预警的示例分析

这是一个非常受欢迎的JavaScript库,在npm.org存储库上每周下载量超过200万。

恶意依赖已经存在了2.5个月内未被发现。

关于JavaScript公共库event-stream被植入恶意代码预警的示例分析就分享到这里了,希望以上内容可以对大家有一定的帮助,可以学到更多知识。如果觉得文章不错,可以把它分享出去让更多的人看到。


新闻名称:JavaScript公共库event-stream被植入恶意代码预警的示例分析
URL链接:http://bjjierui.cn/article/jisjje.html

其他资讯