【安全预警】JavaScript公共库event-stream被植入恶意代码

2018年11月27日，安全专题监测到JavaScript公共库event-stream被植入恶意代码，该恶意代码专门针对窃取用户数字货币钱包。

漏洞描述

event-stream库是一个跨平台的JavaScript应用，使用非常广泛。近期，有恶意用户在event-stream的npm包中植入恶意代码，主要作用是窃取用户的钱包信息，包括私钥，并将其发送到copayapi.host的8080端口上，目前npm官网已经下架处理。

影响范围

Event-Stream 3.3.6版本

风险评级

高危

安全建议

针对NPM全局安装模式可使用以下命令对event-stream检测：

1
2
3
4
5
$ npm ls event-stream flatmap-stream -g

...

event-stream@3.3.6

flatmap-stream@0.1.1

...

可以对event-stream进行升级版本到最新4.0.1以修复此事件带来的影响，命令：

1
$ npm install event-stream@4.0.1 -g

再通过上述命令检测升级成功与否

安全云盾态势感知应急漏洞模块已支持对该漏洞一键检测，详情登陆云盾控制台

官方链接

https://github.com/dominictarr/event-stream/issues/116

我们会关注后续进展，请随时关注官方公告。

内容来自网络，如有侵犯到您的权益，请联系站长QQ7529997，我们将及时处理。

安全专题

2018.11.27