JavaScript公共库event-stream被植入恶意代码

  • A+
所属分类:阿里云通知
2021云服务器双十二活动

阿里云双12:5M带宽2核2G服务器58元一年起,云安全中心、Web防火墙、SSL证书、DDoS高防特价...
腾讯云双12:8M带宽2核4G服务器70元一年起,主机安全、Web应用防火墙、DDoS高防包均有活动...

2018年11月27日,阿里云云盾应急响应中心监测到JavaScript公共库event-stream被植入恶意代码,该恶意代码专门针对窃取用户数字货币钱包。

漏洞详情

event-stream库是一个跨平台的JavaScript应用,使用非常广泛。近期,有恶意用户在event-stream的npm包中植入恶意代码,主要作用是窃取用户的钱包信息,包括私钥,并将其发送到copayapi.host的8080端口上,目前npm官网已经下架处理。

  • 影响范围
  • Event-Stream 3.3.6版本

  • 风险评级
  • 高危

    解决方案:

    针对NPM全局安装模式可使用以下命令对event-stream检测:

    可以对event-stream进行升级版本到最新4.0.1以修复此事件带来的影响,命令:

    再通过上述命令检测升级成功与否

    官方说明

    【安全预警】JavaScript公共库event-stream被植入恶意代码

    2021双十二优惠活动,便宜有好货!
    ①阿里云:阿里云服务器58元一年,209元三年(有高配,很便宜)
    ②腾讯云:腾讯云2核4G8M服务器70元/年,4C8G5M 1751元、8C16G10M 8491元...
    ③华为云:华为云服务器60元一年起(查看更多配置报价)

    发表评论

    :?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: