1. 首页>
  2. 腾讯云代理

【安全预警】关于 npm 包 event-stream 被植入了恶意代码的安全通知

腾讯云 2018年11月28日 浏览126

    腾讯云代理 腾讯云新闻 腾讯云代理 腾讯云直播申请 游戏上云

摘要: 近日,腾讯云安全中心监测到流行前端框架广泛依赖的 event-stream 包被植入了恶意代码,可以被攻击者利用盗取用户的数字钱包信息,包括私钥等敏感信息。 为避免您的业务受影响,腾讯云安全中心建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者利用造成业务损失。

尊敬的腾讯云客户,您好:

  近日,腾讯云安全中心监测到流行前端框架广泛依赖的 event-stream 包被植入了恶意代码,可以被攻击者利用盗取用户的数字钱包信息,包括私钥等敏感信息
       为避免您的业务受影响,腾讯云安全中心建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者利用造成业务损失。
 
【漏洞详情】
event-stream 被包括 Vue 在内的多个流行的前端框架和库所依赖,event-stream 包被恶意攻击者添加一个新的 flatmap-stream 的依赖项,flatmap-stream 中的恶意代码会扫描用户的相关目录,将恶意代码注入到特定的模块中,从而盗取用户的数字钱包信息,包括私钥等敏感信息。
如果用户运行命令 "npm ls event-stream flatmap-stream" 后看到 "flatmap-stream@0.1.1",说明被该问题影响。
【风险等级
   中风险
 
【漏洞风险】
 盗取用户数字货币钱包信息
 
【影响版本】
 目前已知受影响版本如下:
 event-stream@3.3.6 
 flatmap-stream@any
【安全版本】
event-stream@3.3.4
 
【修复建议】
  1)如果是 event-stream 直接使用者,可以对 event-stream 进行降级版本到 3.3.4 以缓解此事件带来的影响,降级方式如下:
npm install event-stream@3.3.4
  2)如果是 Vue 使用者,由于 Vue CLI 对其依赖关系只存在于用 UI 终止任务的时候,已创建项目通过纯 CLI 使用的不受影响,为了彻底解决问题建议重装全局 @vue/cli 。
 
【漏洞参考】


img

2018-11-27


相关文章

在线客服
淘宝购买
腾讯云直播申请 title=
+成为腾讯云VIP客户 腾讯云直播申请 客服电话

15818558013

0755-33940501-803

0755-33940501-808