0
  • 聊天消息
  • 系統(tǒng)消息
  • 評論與回復(fù)
登錄后你可以
  • 下載海量資料
  • 學(xué)習(xí)在線課程
  • 觀看技術(shù)視頻
  • 寫文章/發(fā)帖/加入社區(qū)
會員中心
电子发烧友
开通电子发烧友VIP会员 尊享10大特权
海量资料免费下载
精品直播免费看
优质内容免费畅学
课程9折专享价
創(chuàng)作中心

完善資料讓更多小伙伴認(rèn)識你,還能領(lǐng)取20積分哦,立即完善>

3天內(nèi)不再提示

月下載量800萬的開源庫被植入比特幣后門

5RJg_mcuworld ? 來源:lq ? 2018-11-30 16:19 ? 次閱讀

【導(dǎo)讀】:NPM 成也依賴,坑也依賴!2016 年 3 月,NPM 就炸鍋一次。一個 NPM 模塊的開發(fā)者撤回了自己的代碼,導(dǎo)致諸如React 和 Babel 等大量重要項目出問題了。

今天NPM圈又炸鍋了,因為一個廣泛使用的依賴庫 event-stream 在被原維護(hù)者Dominic Tarr轉(zhuǎn)讓給right9ctrl之后被植入了竊取比特幣的后門。這意味著使用到該模塊的開發(fā)者們,其設(shè)備或許早在不知情的情況下變成了挖礦設(shè)備了。

我們是怎么一步一步掉坑的?

event-stream 是一個用于處理 Node.js 流數(shù)據(jù)的 JavaScript npm 包,它使得創(chuàng)建和使用流變得容易,正是因此,它也受到了廣大開發(fā)者的歡迎,目前這個庫每周有 200 萬的下載量。

數(shù)月前,event-stream庫的作者者@dominictarr 因為缺乏時間和興趣無法繼續(xù)維護(hù)這個庫了,于是就將該庫轉(zhuǎn)讓給了一個完全不認(rèn)識卻又想要維護(hù)的陌生人@right9ctrl ,噩夢就此開始了。

@dominictarr:

(@right9ctrl)他發(fā)郵件給我,說他想維護(hù)這個模塊,于是我把模塊所有權(quán)移交給了他。我沒有從這個模塊得到任何回報,而且我已經(jīng)好久不使用這個模塊了,大概有好幾年了吧。

9 月 8 日,新維護(hù)者@right9ctrl 開始了初步動作,首先釋出了event-stream3.3.6 版本的更新,并在其中加入了一個全新的模塊——flatmap-stream,彼時這個模塊中并沒有惡意功能。

9 月 16 日,@right9ctrl 重寫了代碼并刪除了對flatmap-stream 的依賴,之后又推出新版本,這意味著更新不會自動升級。

10 月 5 日,flatmap-stream 0.0.1 版本被一個名為“hugeglass”的用戶推送到了 NPM。而這次釋出的更新中該模塊就被加入了竊取比特幣錢包并轉(zhuǎn)移出余額的功能。

因此,自 10 月 5 日以來,任何通過event-stream 庫并使用被植入惡意代碼 flatmap-stream 的開發(fā)者都可能受到惡意腳本的攻擊。而據(jù)統(tǒng)計,自2018 年 9 月更新以來,惡意包已下載近 800 萬次。且原作者也無奈地表示,自己也沒有權(quán)限去修改。

event-stream原作者的回應(yīng)

收到其他開發(fā)者的譴責(zé)后,event-stream 原作者Dominic Tarr在 GitHub 上發(fā)表聲明做出了回應(yīng)。

https://gist.github.com/dominictarr/9fd9c1024c94592bc7268d36b8d83b3a

大意如下:

使用者將維護(hù)的負(fù)擔(dān)壓在作者身上,而他開發(fā)這個庫不是出于利他動機(jī),是因為好玩。從開發(fā)中學(xué)習(xí)并獲得樂趣,將維護(hù)交給另一個人是因為分享也是一種學(xué)習(xí)。

為什么要把這個軟件包項目交給一個陌生人?

因為當(dāng)它不再有趣,你從維護(hù)中得不到任何東西。一開始他并沒有從 right9ctrl 身上感受到惡意,他以為這是一位真心想幫助他的人。

與其他貢獻(xiàn)者分享 commit access/publish 權(quán)力在 node/npm 社區(qū)是很流行的。

他認(rèn)為有兩種方法解決這個問題:給維護(hù)者錢,或者使用者也應(yīng)該承擔(dān)部分維護(hù)的責(zé)任。

如何知道是否中招了?該怎么辦?

目前對于開發(fā)者受到此漏洞的影響程度尚未可知,但是當(dāng)前我們的首要任務(wù)還是檢查自己是否使用了相關(guān)的惡意庫,例如運行以下代碼:

$npmlsevent-streamflatmap-stream...flatmap-stream@0.1.1...

如果在輸出里面包含了 flatmap-stream 則說明你也可能被攻擊。

倘若確認(rèn)受到了影響,接下來你首先要做的是從應(yīng)用程序中刪除惡意軟件包,可以通過恢復(fù)到 event-stream版本 3.3.4 來執(zhí)行此操作。

聲明:本文內(nèi)容及配圖由入駐作者撰寫或者入駐合作網(wǎng)站授權(quán)轉(zhuǎn)載。文章觀點僅代表作者本人,不代表電子發(fā)燒友網(wǎng)立場。文章及其配圖僅供工程師學(xué)習(xí)之用,如有內(nèi)容侵權(quán)或者其他違規(guī)問題,請聯(lián)系本站處理。 舉報投訴
  • 模塊
    +關(guān)注

    關(guān)注

    7

    文章

    2741

    瀏覽量

    47841
  • 比特幣
    +關(guān)注

    關(guān)注

    57

    文章

    7006

    瀏覽量

    141458

原文標(biāo)題:可怕!月下載量 800 萬的開源庫被植入比特幣后門

文章出處:【微信號:mcuworld,微信公眾號:嵌入式資訊精選】歡迎添加關(guān)注!文章轉(zhuǎn)載請注明出處。

收藏 0人收藏

    評論

    相關(guān)推薦

    開源AI模型是干嘛的

    開源AI模型是指那些公開源代碼、允許自由訪問和使用的AI模型集合。這些模型通常經(jīng)過訓(xùn)練,能夠執(zhí)行特定的任務(wù)。以下,是對開源AI模型的詳細(xì)
    的頭像 發(fā)表于 12-14 10:33 ?360次閱讀

    微軟股東投票反對配置比特

    比特的大漲似乎吸引了很多眼球,似乎連微軟也不例外,NCPPR曾提議微軟公司用1%到5%的利潤購買比特,投資獲得的收益可以對沖通脹。但是微軟還是相對謹(jǐn)慎的拒絕了。 此前微軟董事會早些
    的頭像 發(fā)表于 12-11 14:30 ?550次閱讀

    比特價格飆升,突破10美元大關(guān)

    記錄。 回顧今年的市場表現(xiàn),比特的漲勢可謂勢如破竹。從年初的4美元左右起步,比特在短時間內(nèi)便實現(xiàn)了翻倍的增長,這一表現(xiàn)不僅讓投資者們驚
    的頭像 發(fā)表于 12-06 11:12 ?322次閱讀

    比特突破99000美元

    比特價格日內(nèi)上漲3.4%;一度觸及99000美元的高點。 利好消息是美國候任總統(tǒng)特朗普提名支持加密貨幣的保守派律師阿特金斯(Paul Atkins)出任美國證券交易委員會(SEC)主席。這個消息引燃了新一輪的比特
    的頭像 發(fā)表于 12-05 11:01 ?543次閱讀

    科技看點:微軟將審議比特投資提案 2024年烏鎮(zhèn)峰會AI“含量”高

    給大家分享一些科技巨頭的最新消息,比如微軟;還有一些業(yè)界重大科技新聞。 微軟將審議比特投資提案 據(jù)外媒報道微軟公司將在12月10日的年度股東大會上“評估投資比特”的提案。微軟表示“
    的頭像 發(fā)表于 10-25 16:49 ?1321次閱讀

    開放原子開源數(shù)據(jù)生態(tài)論壇成功舉辦

    以“開源生態(tài)筑基礎(chǔ),數(shù)字經(jīng)濟(jì)鑄未來”為主題的2024全球數(shù)字經(jīng)濟(jì)大會——開放原子開源數(shù)據(jù)生態(tài)論壇在北京成功舉辦。開放原子開源基金會副秘書長辛?xí)匀A出席并致辭,北京市經(jīng)濟(jì)和信息化局信息化
    的頭像 發(fā)表于 09-24 10:36 ?534次閱讀

    龍蜥社區(qū)引領(lǐng)開源操作系統(tǒng)新紀(jì)元:Anolis OS 23發(fā)布,裝機(jī)800

    在8月30日盛大舉行的第二屆龍蜥操作系統(tǒng)大會上,領(lǐng)先的開源操作系統(tǒng)根社區(qū)——龍蜥社區(qū)宣布了一項振奮人心的里程碑成就:其旗艦產(chǎn)品Anolis OS及其衍生版本在全球范圍內(nèi)的裝機(jī)已成功突破800
    的頭像 發(fā)表于 08-30 15:09 ?554次閱讀

    馬斯克:比特是有價值的

    在特斯拉硅谷車主的一場活動中馬斯克表示比特以及一些其他加密貨幣是有價值的. 在這次在線活動中,馬斯克還談到了星艦的第五次試飛、星鏈Mini、Optimus人形機(jī)器人,以及Robotaxi
    的頭像 發(fā)表于 07-31 17:59 ?1943次閱讀

    車規(guī)攝像頭“智子鎖死在800像素”?

    的圖像傳感器中,往往提供最高性能和最高像素的是前視圖像傳感器。以目前的高端車型為例,為了進(jìn)一步提高識別距離和識別精度,800像素的前視單目/雙目攝像頭已經(jīng)成為標(biāo)配。
    的頭像 發(fā)表于 05-27 07:59 ?4230次閱讀

    阿里云與中興通訊達(dá)成開源數(shù)據(jù)合作

    近日,阿里云與中興通訊宣布達(dá)成開源數(shù)據(jù)領(lǐng)域的深度合作。中興通訊正式加入PolarDB開源社區(qū),并榮任首屆理事會成員單位,這一舉措標(biāo)志著兩大科技巨頭在數(shù)據(jù)領(lǐng)域的合作邁向新的高度。
    的頭像 發(fā)表于 05-17 10:47 ?655次閱讀

    阿里云與中興通訊達(dá)成開源數(shù)據(jù)合作,助推國產(chǎn)數(shù)據(jù)發(fā)展

    據(jù)悉,阿里云與中興通訊于5月16日公布了開源數(shù)據(jù)合作事宜。中興通訊正式宣布加入PolarDB開源社區(qū),并擔(dān)任首屆理事會成員單位。
    的頭像 發(fā)表于 05-16 16:34 ?545次閱讀

    SDK5開源高頻注入的頭文件怎么沒有?

    ST SDK5開源,高頻注入的頭文件怎么沒有?只有。c文件。怎么能夠獲得?
    發(fā)表于 04-17 07:37

    stm32l4如何下載到usb host的固件

    各位大神,請教下stm32l4如何下載到usb host的固件,還想請教下stm32有沒有開源的rndis和ecm代碼
    發(fā)表于 04-11 07:19

    比特價格首次破7美元,看漲期權(quán)熱度不減

    3 月 8 日,比特創(chuàng)下歷史新高至 70000 美元,隨后小幅回調(diào)。此前,比特在美東時間 3 月 5 日刷新紀(jì)錄至 69080 美元,但因獲利資金流出而下滑。
    的頭像 發(fā)表于 03-10 08:56 ?783次閱讀

    Thread 日裝超越X,挑戰(zhàn)Twitter在微博平臺的主導(dǎo)地位

    值得注意的是,自從2023年夏天發(fā)布之后,THREADS應(yīng)用的安裝急劇增長,然而后期因為注入其他渠道,下載量頻繁波動。目前來看,這一投注策略已經(jīng)逐漸平穩(wěn),趨向正常。
    的頭像 發(fā)表于 02-28 15:07 ?852次閱讀

    電子發(fā)燒友

    中國電子工程師最喜歡的網(wǎng)站

    • 2931785位工程師會員交流學(xué)習(xí)
    • 獲取您個性化的科技前沿技術(shù)信息
    • 參加活動獲取豐厚的禮品