11月27日消息 event-stream包是一个流行的npm库,每周下载量在200万次以上,但现在发现包含恶意代码,到目前为止已经有大约800万次的下载量,持续时间为2.5个月。npm安全性问题爆发了。
npm 是 JavaScript 世界的包管理工具,并且是 Node.js 平台的默认包管理工具。通过 npm 可以安装、共享、分发代码,管理项目依赖关系。
据开发者justjavac发布的消息,event-stream 事件已经在圈内刷屏。
event-stream被很多的前端流行框架和库使用,每月有几千万下载量。Vue的官方脚手架 vue-cli 中使用了该依赖,React 则躲过了此次影响。
flatmap-stream 中的恶意代码会扫描用户的 nodemodules 目录,因为所有从 npm 下载的模块都会放在此目录。如果发现在 nodemodules 存在特定的模块,则将恶意代码注入进去,从而盗取用户的数字货币。
如果想查看自己的项目是否受到影响,可以运行:
$ npm ls event-stream flatmap-stream ... flatmap-stream@0.1.1 ...
如果在输出里面包含了 flatmap-stream 则说明你也可能被攻击。
如果使用 yarn 则可以运行:
$ yarn why flatmap - stream
相关资讯
最新热门应用
智慧笑联app官网最新版
生活实用41.45MB
下载盯链app安卓最新版
生活实用50.17M
下载学有优教app家长版
办公学习38.83M
下载九号出行app官网最新版
旅行交通28.8M
下载货拉拉司机版app最新版
生活实用145.22M
下载全自动抢红包神器2024最新版本安卓app
系统工具4.39M
下载扫描王全能宝官网最新版
办公学习238.17M
下载海信爱家app最新版本
生活实用235.33M
下载航旅纵横手机版
旅行交通138.2M
下载双开助手多开分身安卓版
系统工具18.11M
下载