Уважаемые пользователи Голос!
Сайт доступен в режиме «чтение» до сентября 2020 года. Операции с токенами Golos, Cyber можно проводить, используя альтернативные клиенты или через эксплорер Cyberway. Подробности здесь: https://golos.io/@goloscore/operacii-s-tokenami-golos-cyber-1594822432061
С уважением, команда “Голос”
GOLOS
RU
EN
UA
gooddude
5 лет назад

Троян в зависимостях js-библиотеки

В одном из релизов (3.3.6) популярной js-библиотеки event-stream была установлена вредоносная зависимость: пакет flatmap-stream 0.1.1. Сама event-stream является зависимостью для ps-tree и npm-run-all и еще нескольких тысяч npm-пакетов.

Проверить наличие проблемы в своей системе можно легко командой:

npm ls event-stream flatmap-stream

Также разработчикам приложений рекомендуют пока зафиксировать в зависимостях версию event-stream 3.3.4, поскольку в сентябре предыдущий автор библиотеки передал управление новому (right9ctrl), после чего и появилась указанная вредоносная зависимость. На данный момент она удалена из зависимостей, а релиз 3.3.6 отозван из NPM.

Вредоносный код во flatmap-stream использовался для кражи закрытых ключей от кошельков Copay, которые отправлялись на copayapi.host и 111.90.151.134 ; 51.38.112.212 ; 145.249.104.239.

0
0.310 GOLOS
0
Ответить
На Golos с February 2018
Комментарии (0)
Сортировать по:
Сначала старые
© 2016 - 2024 Golos.io