JavaScript公共库event-stream被植入恶意代码

安全预警JavaScript公共库event-stream被植入恶意代码

监测到JavaScript公共库event-stream被植入恶意代码,该恶意代码专门针对窃取用户数字货币钱包。

漏洞描述
event-stream库是一个跨平台的JavaScript应用,使用非常广泛。近期,有恶意用户在event-stream的npm包中植入恶意代码,主要作用是窃取用户的钱包信息,包括私钥,并将其发送到copayapi.host的8080端口上,目前npm官网已经下架处理。

影响范围
Event-Stream 3.3.6版本

风险评级
高危

安全建议
针对NPM全局安装模式可使用以下命令对event-stream检测:

$ npm ls event-stream flatmap-stream -g

event-stream@3.3.6
flatmap-stream@0.1.1

可以对event-stream进行升级版本到最新4.0.1以修复此事件带来的影响,命令:
$ npm install event-stream@4.0.1 -g

再通过上述命令检测升级成功与否

官方链接

https://github.com/dominictarr/event-stream/issues/116

「点点赞赏,手留余香」

    还没有人赞赏,快来当第一个赞赏的人吧!