预警编号:NS-2018-0037
2018-11-28
TAG: | npm、 event-stream、恶意代码植入、信息窃取 |
|---|---|
危害等级: | 高,event-stream应用广泛,已经累计超过2000万次下载。 |
版本: | 1.0 |
1
风险概述
近日,JavaScript应用库event-stream中被植入了恶意模块flatmap-stream,该恶意模块可窃取秘钥等隐私信息。
event-stream是一个用于处理Node.js流数据的npm包。此次事件是由于event-stream原作者没有精力进行更新,将开发维护权限交于陌生人而导致。目前NPM官方已发布安全通告,并下架了恶意模块flatmap-stream。根据官方的统计,恶意的event-stream版本已经累计超过2000万次下载,影响范围广,请相关用户尽快进行自查,并采取防护措施,以减少损失。
参考链接:
https://snyk.io/blog/malicious-code-found-in-npm-package-event-stream
SEE MORE →
2影响范围
受影响版本
- event-stream 3.3.6
- flatmap-stream所有版本
- Copay < 5.2.2
不受影响版本
- event-stream 3.3.4
- Copay 5.2.2
备注:Copay是比特币钱包项目,由于该项目使用了event-stream,因此受到该事件影响,目前部分用户的比特币钱包因为该恶意模块已经被泄露到copayapi.host:8080,最新的Copay 5.2.2已经去除了对event-stream的依赖,建议相关用户及时升级。
3漏洞排查
由于很多流行的应用都引用了event-stream,如nodemon、ps-tree,建议相关用户及时进行自查,用户可通过如下命令判断当前系统是否受影响:
$ npm ls event-stream flatmap-stream |
|---|
执行完上述命令后,如出现event-stream@3.3.6和flatmap-stream相关的信息,则说明存在风险。
└─┬ npm-run-all@4.1.3 └─┬ ps-tree@1.1.0 └─┬ event-stream@3.3.6 └──flatmap-stream@0.1.2 |
|---|
4漏洞防护
针对此威胁,建议用户将event-stream回退到3.3.4版本,命令参考如下:
npm install event-stream@3.3.4 |
|---|
END
作者:绿盟科技安全服务部
声明
本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。
绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。
