介绍
这篇文章给大家介绍JavaScript公共库事件流被植入恶意代码预警的示例分析,内容非常详细,感兴趣的小伙伴们可以参考借鉴,希望对大家能有所帮助。
0 x00事件背景
2018年11月21日,名为FallingSnow的用户在知名JavaScript应用库事件流在github Issuse中发布了针对植入的恶意代码的疑问,表示事件流中存在用于窃取用户数字钱包的恶意代码。
360 - cert从该Issuse中得知,大约三个月前,由于缺乏时间和兴趣,事件流原作者@dominictarr将其开发交给另一位名为@Right9ctrl的程序员。
随后,Right9ctrl发布了包含新依赖关系的事件流3.3.6——Flatmap-Stream0.1.1。
其中,Flatmap-Stream v0.1.1正是是包含恶意代码的npm包。
据分析,该包中的恶意代码主要作用是:它将窃取用户的钱包信息,包括私钥,并将其发送到copayapi。主机的8080端口上,目前npm官网已经下架处理。
在实际生产应用中,事件流库属于一个跨平台的应用,影响面会比较广泛。
360 - cert建议相关用户,特别是互联网相关的企业,应该针对自身IDC线上环境,办公网环境进行安全评估。
0 x01影响范围
事件流3.3.6版本
这是一个非常受欢迎的JavaScript库,在npm.org存储库上每周下载量超过200多万。
恶意依赖已经存在了2.5个月内未被发现。
