• 欢迎访问安全专题网站,安全专题信息,安全专题教程,推荐使用最新版火狐浏览器和Chrome浏览器访问本网站,欢迎加入安全专题 QQ群7652650
  • 安全专题现已支持滚动公告栏功能,兼容其他浏览器,看到的就是咯,在后台最新消息那里用li标签添加即可。
  • 如果您觉得本站非常有看点,那么赶紧使用Ctrl+D 收藏安全专题吧

JavaScript公共库event-stream被植入恶意代码

安全漏洞 aqzt 2周前 (12-04) 50次浏览

安全预警 JavaScript 公共库 event-stream 被植入恶意代码

监测到 JavaScript 公共库 event-stream 被植入恶意代码,该恶意代码专门针对窃取用户数字货币钱包。

漏洞描述
event-stream 库是一个跨平台的 JavaScript 应用,使用非常广泛。近期,有恶意用户在 event-stream 的 npm 包中植入恶意代码,主要作用是窃取用户的钱包信息,包括私钥,并将其发送到 copayapi.host 的 8080 端口上,目前 npm 官网已经下架处理。

影响范围
Event-Stream 3.3.6 版本

风险评级
高危

安全建议
针对 NPM 全局安装模式可使用以下命令对 event-stream 检测:

$ npm ls event-stream flatmap-stream -g

event-stream@3.3.6
flatmap-stream@0.1.1

可以对 event-stream 进行升级版本到最新 4.0.1 以修复此事件带来的影响,命令:
$ npm install event-stream@4.0.1 -g

再通过上述命令检测升级成功与否

官方链接

https://github.com/dominictarr/event-stream/issues/116


安全专题 , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明原文链接:JavaScript 公共库 event-stream 被植入恶意代码
喜欢 (2)