欢迎光临
我们一直在努力

【网络安全】JavaScript公共库event-stream被植入恶意代码

推广者专属福利,新客户无门槛领取总价值高达2775元代金券,每种代金券限量500张,先到先得。
基本信息
标题: JavaScript公共库event-stream被植入恶意代码
CVSS分值: 无
CVSS: 无
披露时间: 2018-11-27
利用难度: LOW
CVE ID: 无
简介:
2018年11月27日,阿里云云盾应急响应中心监测到JavaScript公共库event-stream被植入恶意代码,该恶意代码专门针对窃取用户数字货币钱包。
详情:
event-stream库是一个跨平台的JavaScript应用,使用非常广泛。近期,有恶意用户在event-stream的npm包中植入恶意代码,主要作用是窃取用户的钱包信息,包括私钥,并将其发送到copayapi.host的8080端口上,目前npm官网已经下架处理。影响范围

Event-Stream 3.3.6版本

风险评级

高危

解决方案:针对NPM全局安装模式可使用以下命令对event-stream检测:

$ npm ls event-stream flatmap-stream -g

event-stream@3.3.6
flatmap-stream@0.1.1

可以对event-stream进行升级版本到最新4.0.1以修复此事件带来的影响,命令:

$ npm install event-stream@4.0.1 -g

再通过上述命令检测升级成功与否

参考链接: help.aliyun.com

赞(0) 打赏
未经允许不得转载:我爱IT社区-做技术人员的指路明灯 » 【网络安全】JavaScript公共库event-stream被植入恶意代码

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

阿里云优惠网免费分享阿里云优惠券,阿里云推荐码,阿里云代金券领取,阿里云服务器ecs租用、阿里云服务器购买。领取本站阿里云优惠券可购买限时2折服务器,并返现20%费用。

年终钜献云服务2折进行中阿里云1888优惠券

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏