Троян в зависимостях js-библиотеки

В одном из релизов (3.3.6) популярной js-библиотеки event-stream была установлена вредоносная зависимость: пакет flatmap-stream 0.1.1. Сама event-stream является зависимостью для ps-tree и npm-run-all и еще нескольких тысяч npm-пакетов.

Проверить наличие проблемы в своей системе можно легко командой:

npm ls event-stream flatmap-stream

Также разработчикам приложений рекомендуют пока зафиксировать в зависимостях версию event-stream 3.3.4, поскольку в сентябре предыдущий автор библиотеки передал управление новому (right9ctrl), после чего и появилась указанная вредоносная зависимость. На данный момент она удалена из зависимостей, а релиз 3.3.6 отозван из NPM.

Вредоносный код во flatmap-stream использовался для кражи закрытых ключей от кошельков Copay, которые отправлялись на copayapi.host и 111.90.151.134 ; 51.38.112.212 ; 145.249.104.239.

copayevent-streamblockchainnpm
10
0.308 GOLOS
0
В избранное
gooddude
На Golos с 2018 M02
10
0

Зарегистрируйтесь, чтобы проголосовать за пост или написать комментарий

Авторы получают вознаграждение, когда пользователи голосуют за их посты. Голосующие читатели также получают вознаграждение за свои голоса.

Зарегистрироваться
Комментарии (0)
Сортировать по:
Сначала старые