月下载量千万的 npm 包被黑客篡改,Vue 开发者可能正在遭受攻击
发布于 3 年前 作者 justjavac 4126 次浏览 来自 分享

event-stream 被注入恶意代码,黑客扫描整个 node_modules 窃取用户的数字货币。

13 回复

这。。。。。。。数字货币在这种场景下真的很脆弱

吓死人了,赶紧把自己的0.00000001个BTC藏好。 该死,差点忘记我的私钥不是已经丢了很久了。。。

比特币 不是跌了很惨么 还有人在搞。。。

@hewentaowx 还在搞啊。我就在不断定投BTC,且认为这次下跌是一个巨大机会,这段时间定投金额基本都是前几个月的几倍

@zy445566 类似于股市抄底么 哈哈 我也不懂btc也没钱玩 祝好运呀

@hewentaowx 目前BTC3800刀,就当立个flag。

这应该是一次定向投毒事件,攻击者是为了给 copay 投毒。9 月份攻击者开始给 event-stream 3.x 投毒,copay 的所有版本全部中招,之后攻击者移除了投毒代码并发布了 4.x 版本。在事发之前 copay 一直使用的 3.x。vue-cli 也受到了影响是因为使用了中毒的 ps-tree,因此无辜躺枪了。除此之外中毒的 pkg 还有 nodemon、npm-run-all

检查了一下vue的项目,好像已经解决了

@zy445566 嘿嘿,意见一致

难道这就是开源的代价?😂

@vanishcode 嗯,BTC已经存在大量丢失且丢失还会持续扩大。

@hewentaowx 现在翻10倍了,感谢你的祝好,我出了

@vanishcode 嗯,坚持就是胜利。BTC这个东西就是这样,无论你什么时候买,未来都有一个时间会超过原来的价格,通缩模型货币的必然趋势。

回到顶部