今天早起看手機(jī)渴频，結(jié)果發(fā)現(xiàn)我的微信群炸了，未讀消息 999+北启，大家都在討論 event-stream 事件卜朗。打開 twitter 也是被這個刷屏了拔第。

于是翻看了一下 GitHub issue，大概知道了事情的原委场钉。

用戶 @FallingSnow 在 GitHub 上為 event-stream 倉庫創(chuàng)建了一個 issue蚊俺，標(biāo)題為："I don't know what to say."，翻譯過來大概就是“我也是很無語了”逛万。因?yàn)?event-stream 包突然多出了一個名為 flatmap-stream 的依賴項(xiàng)泳猬，而這個依賴項(xiàng)正在竊取用戶的數(shù)字貨幣。

event-stream 被很多的前端流行框架和庫使用泣港，每月有幾千萬的下載量暂殖。在 Vue 的官方腳手架 vue-cli 中也使用了這個依賴，作為最流行的前端框架之一当纱，這個影響還是挺大的呛每。而 React 則躲過了以此影響。

flatmap-stream 中的惡意代碼會掃描用戶的 nodemodules 目錄坡氯，因?yàn)樗袕?npm 下載的模塊都會放在此目錄晨横。如果發(fā)現(xiàn)了在 nodemodules 存在特定的模塊，則將惡意代碼注入進(jìn)去箫柳，從而盜取用戶的數(shù)字貨幣手形。

如果想查看自己的項(xiàng)目是否受到影響，可以運(yùn)行：

$ npm ls event-stream flatmap-stream
...
flatmap-stream@0.1.1
`...`

如果在輸出里面包含了 flatmap-stream 則說明你也可能被攻擊悯恍。

如果使用 yarn 則可以運(yùn)行：

$ yarn why flatmap-stream

根據(jù) issue 的描述库糠，這次事件還非常具有戲劇性，因?yàn)楣粽撸ˊright9ctrl）在大概 3 個月前明目張膽的添加了攻擊代碼涮毫，并提交到了 GitHub瞬欧，隨后發(fā)布到了 npm。于是 @FallingSnow 在 GitHub 上詢問“為什么 @right9ctrl 有這個項(xiàng)目的訪問權(quán)限呢罢防？”

@dominictarr Why was @right9ctrl given access to this repo? He added flatmap-stream which is entirely (1 commit to the repo but has 3 versions, the latest one removes the injection, unmaintained, created 3 months ago) an injection targeting ps-tree. 

不久這個倉庫的所有者（@dominictarr）給出了一個讓人哭笑不得的回復(fù)：

他發(fā)郵件給我艘虎，說他想維護(hù)這個模塊，于是我把模塊所有權(quán)移交給了他咒吐。我沒有從這個模塊得到任何回報野建，而且我已經(jīng)好久不使用這個模塊了，大概有好幾年了吧恬叹。

而且：我已經(jīng)沒有發(fā)布這個模塊的權(quán)限了候生。

作者已經(jīng)把這個模塊移交給了黑客。

$ npm owner ls event-stream
right9ctrl <right9ctrl@outlook.com>

從 GitHub 的提交記錄也可以看到绽昼，作者(@dominictarr)最后一次提交代碼是去年 10 月陶舞。而之后黑客 @right9ctrl 也一直在維護(hù)此模塊。但是在 3 個月前绪励，黑客在 GitHub 上新建了一個 flatmap-stream 倉庫（內(nèi)含惡意代碼）肿孵，并在這個項(xiàng)目中引用了自己的倉庫唠粥。

直到幾天前這個有漏洞的倉庫才被發(fā)現(xiàn)，然后 npm 緊急將這個含有惡意代碼的 flatmap-stream 模塊刪除了停做。

這段惡意代碼目前還能在 GitHub 上看到晤愧，感興趣的可以自己去分析。攻擊者還是挺有心機(jī)的蛉腌。

在評論區(qū)也出現(xiàn)了對 @dominictarr 的指責(zé)官份，輕易的將一個周下載量百萬級別的模塊移交給了陌生人去維護(hù)。但是熟悉 @dominictarr 的人都知道烙丛，雖然 @dominictarr 不如 tj 大神那么高產(chǎn)舅巷，但是 @dominictarr 也維護(hù)著 400 多個 npm 包，而維護(hù)這么多包無疑花費(fèi)了很多的時間和精力河咽。

雖然我們不知道黑客（@right9ctrl）發(fā)送的郵件是如何寫的钠右，但是無容置疑的是，這封郵件使其獲得了 @dominictarr 的信任忘蟹，再加上 @dominictarr 已經(jīng)好久不使用這個包了飒房，因此將所有權(quán)轉(zhuǎn)移給了黑客（@right9ctrl）。

而這次漏洞事件媚值，也讓我們回過頭來重新反省 node.js 社區(qū)狠毯。

最后再次提醒：如果你是 vue 開發(fā)者，請務(wù)必檢查一下自己的項(xiàng)目褥芒。即使你不是 vue 開發(fā)者嚼松，最好也檢查一下，因?yàn)楹芏嗔餍心K比如 nodemon锰扶、npm-run-all惜颇、ps-tree 也都受到了影響。

聲明：本文來自justjavac少辣，版權(quán)歸作者所有。文章內(nèi)容僅代表作者獨(dú)立觀點(diǎn)羡蛾，轉(zhuǎn)載目的在于傳遞更多信息漓帅。如需轉(zhuǎn)載，請聯(lián)系原作者獲取授權(quán)痴怨。
https://www.secrss.com/articles/6694?utm_source=tuicool&utm_medium=referral