月下载量千万的 npm 包被黑客篡改,Vue 开发者可能正在遭受攻击
发布于 9 个月前 作者 justjavac 2908 次浏览 来自 分享

event-stream 被注入恶意代码,黑客扫描整个 node_modules 窃取用户的数字货币。

11 回复

这。。。。。。。数字货币在这种场景下真的很脆弱

吓死人了,赶紧把自己的0.00000001个BTC藏好。 该死,差点忘记我的私钥不是已经丢了很久了。。。

比特币 不是跌了很惨么 还有人在搞。。。

@hewentaowx 还在搞啊。我就在不断定投BTC,且认为这次下跌是一个巨大机会,这段时间定投金额基本都是前几个月的几倍

@zy445566 类似于股市抄底么 哈哈 我也不懂btc也没钱玩 祝好运呀

@hewentaowx 目前BTC3800刀,就当立个flag。

这应该是一次定向投毒事件,攻击者是为了给 copay 投毒。9 月份攻击者开始给 event-stream 3.x 投毒,copay 的所有版本全部中招,之后攻击者移除了投毒代码并发布了 4.x 版本。在事发之前 copay 一直使用的 3.x。vue-cli 也受到了影响是因为使用了中毒的 ps-tree,因此无辜躺枪了。除此之外中毒的 pkg 还有 nodemon、npm-run-all

检查了一下vue的项目,好像已经解决了

难道这就是开源的代价?😂

@vanishcode 嗯,BTC已经存在大量丢失且丢失还会持续扩大。

回到顶部