缘起
这两天,一个被广泛应用的javascript第三方库“event-steram”爆出被人植入恶意代码,能够窃取到用户的钱包信息,造成财产(虚拟货币)受损。
爆出的链接在这里;360安全团队对于此次漏洞的分析做出了分析。(源码分析那部分其实没说太明白,至少我是没看懂。。)
总的来说,这个漏洞主要针对的是国外一款热钱包应用,对其他项目不会有太大影响。但一想到自己的项目里有这么个“病毒”存在,心里总感觉别扭,所以还是尽早清除为妙。
检测本地代码是否有此漏洞
第一步,全局搜索flatmap-stream,找到哪些项目中使用到了
sudo find / -name flatmap-stream
如果你本地没有项目用到这个库,那么恭喜你没有被感染;如果你搜索结果里显示有项目用到了,就需要进行下面的第二步了。
第二步,进入该项目目录下,列出event-stream和flatmap-stream的版本号
remix-ide$ npm ls event-stream flatmap-stream
remix-ide@0.7.5 /Users/Franklin/Documents/blockchain/code/ethereum/remix-ide
└─┬ npm-run-all@4.1.3
└─┬ ps-tree@1.1.0
└─┬ event-stream@3.3.6
└── flatmap-stream@0.1.1
如果event-stream的版本号是3.3.6,并且flatmap-stream的版本号是0.1.1,那就说明是已经被感染了。
修复方法
这个漏洞在爆出来之后,大多数依赖event-stream的库的作者,都做了紧急修复,因此可以重装一下看看是否已经被修复了:先手动删除node_modules目录(如果有package-lock.json,也需要删除),用npm install重新安装;再用npm ls查看一下版本号是否已经变了。如果没变,说明库的作者未做修复,此时只能自己手动修改了:打开对应库的package.json文件,把event-stream的版本号显式指定为一个早先没有漏洞的,比如3.3.4。
// 以ps-tree为例,原代码:
"dependencies": {
"event-stream": "~3.3.0"
},
// 修改成:
"dependencies": {
"event-stream": "3.3.4"
},
注意,package-lock.json文件内的版本号也需要同步修改一下。
最后执行npm install。
多说两句
这个漏洞的一个重要的危害是:你并不知道你使用的第三方库里是不是引用了有漏洞的版本。所以会造成麻烦:每引入新的库都要重复上面的检测和修复的方法。
我一直觉得js的npm包管理方式太过开放太过简单粗暴,之前就出过left-pad
的作者怒删在npm上的库,造成众多依赖的项目无法工作,知乎链接。
这次又出了这么严重的漏洞。npm作者确实是应该考虑一下升级安全方面的机制了。
网友评论