月下載量千萬的 npm 包被黑客篡改,Vue 開發者可能正在遭受攻擊
轉載請註明出處:葡萄城官網,葡萄城為開發者提供專業的開發工具、解決方案和服務,賦能開發者。
原文轉載自 微信公眾號 justjavac
早起看手機,結果發現我的微信群炸了,未讀訊息 999+,大家都在討論 event-stream 事件。開啟 twitter 也是被這個刷屏了。
於是翻看了一下 GitHub Issue,大概知道了事情的原委。
使用者 @FallingSnow 在 GitHub 上為 event-stream 倉庫建立了一個 issue,標題為:"I don't know what to say.",翻譯過來大概就是“我也是很無語了”。因為 event-stream 包突然多出了一個名為 flatmap-stream 的依賴項,而這個依賴項正在竊取使用者的數字貨幣。
event-stream 被很多的前端流行框架和庫使用,每月有幾千萬的下載量。在 Vue 的官方腳手架 vue-cli 中也使用了這個依賴,作為最流行的前端框架之一,這個影響還是挺大的。而 React 則躲過了以此影響。
flatmap-stream 中的惡意程式碼會掃描使用者的 nodemodules 目錄,因為所有從 npm 下載的模組都會放在此目錄。如果發現了在 nodemodules 存在特定的模組,則將惡意程式碼注入進去,從而盜取使用者的數字貨幣。
如果想檢視自己的專案是否受到影響,可以執行:
$ npm ls event-stream flatmap-stream ... flatmap[email protected] ...
如果在輸出裡面包含了 flatmap-stream 則說明你也可能被攻擊。
如果使用 yarn 則可以執行:
$ yarn why flatmap-stream
根據 issue 的描述,這次事件還非常具有戲劇性,因為攻擊者(@right9ctrl)在大概 3 個月前明目張膽的添加了攻擊程式碼,並提交到了 GitHub,隨後釋出到了 npm。於是 @FallingSnow 在 GitHub 上詢問“為什麼 @right9ctrl 有這個專案的訪問許可權呢?”
@dominictarr Why was @right9ctrl given access to this repo? He added flatmap-stream which is entirely (1 commit to the repo but has 3 versions, the latest one removes the injection, unmaintained, created 3 months ago) an injection targeting ps-tree.
不久這個倉庫的所有者(@dominictarr)給出了一個讓人哭笑不得的回覆:
他發郵件給我,說他想維護這個模組,於是我把模組所有權移交給了他。我沒有從這個模組得到任何回報,而且我已經好久不使用這個模組了,大概有好幾年了吧。
而且:我已經沒有釋出這個模組的許可權了。
作者已經把這個模組移交給了黑客。
$ npm owner ls event-stream
right9ctrl <right9ctrl@outlook.com>
從 GitHub 的提交記錄也可以看到,作者(@dominictarr)最後一次提交程式碼是去年 10 月。而之後黑客 @right9ctrl 也一直在維護此模組。但是在 3 個月前,黑客在 GitHub 上新建了一個 flatmap-stream 倉庫(內含惡意程式碼),並在這個專案中引用了自己的倉庫。
直到幾天前這個有漏洞的倉庫才被發現,然後 npm 緊急將這個含有惡意程式碼的 flatmap-stream 模組刪除了。
這段惡意程式碼目前還能在 GitHub 上看到,感興趣的可以自己去分析。攻擊者還是挺有心機的。
在評論區也出現了對 @dominictarr 的指責,輕易的將一個周下載量百萬級別的模組移交給了陌生人去維護。但是熟悉 @dominictarr 的人都知道,雖然 @dominictarr 不如 tj 大神那麼高產,但是 @dominictarr 也維護著 400 多個 npm 包,而維護這麼多包無疑花費了很多的時間和精力。
雖然我們不知道黑客(@right9ctrl)傳送的郵件是如何寫的,但是無容置疑的是,這封郵件使其獲得了 @dominictarr 的信任,再加上 @dominictarr 已經好久不使用這個包了,因此將所有權轉移給了黑客(@right9ctrl)。
而這次漏洞事件,也讓我們回過頭來重新反省 node.js 社群。
最後再次提醒:如果你是 vue 開發者,請務必檢查一下自己的專案。即使你不是 vue 開發者,最好也檢查一下,因為很多流行模組比如 nodemon、npm-run-all、ps-tree 也都受到了影響。
繼上次ESLint被黑後,這又是一起開源社群被黑事件,這不是開源社群安全事件的第一起,但相信也不會是最後一起,誰知道下次受到安全漏洞影響的會不會是自己手裡正在使用的開源工具呢?
如何杜絕此類事件的再次發生,開發者除了做好自身安全措施外,相信選擇使用葡萄城成熟的商業軟體:SpreadJS、WijmoJS 是一個更不錯的選擇,畢竟一家優秀的廠商會為開發者承擔所有可能出現的風險這點很重要。最後,讓我們祝福他們做的更好。