月下載量千萬的 npm 包被黑客篡改,Vue 開發者可能正在遭受攻擊
今天早上起床看手機,結果發現我的微信群炸了,未讀訊息 999+,大家都在討論 event-stream 事件。開啟 twitter 也是被這個刷屏了。
於是翻看了一下 GitHub issue,大概知道了事情的原委。
使用者 @FallingSnow 在 GitHub 上為 event-stream 倉庫建立了一個 issue,標題為:"I don't know what to say.",翻譯過來大概就是“我也是很無語了”。因為 event-stream 包突然多出了一個名為 flatmap-stream 的依賴項,而這個依賴項正在竊取使用者的數字貨幣。
event-stream 被很多的前端流行框架和庫使用,每月有幾千萬的下載量。在 Vue 的官方腳手架 vue-cli 中也使用了這個依賴,作為最流行的前端框架之一,這個影響還是挺大的。而 React 則躲過了以此影響。
flatmap-stream 中的惡意程式碼會掃描使用者的 node_modules 目錄,因為所有從 npm 下載的模組都會放在此目錄。如果發現了在 node_modules 存在特定的模組,則將惡意程式碼注入進去,從而盜取使用者的數字貨幣。
如果想檢視自己的專案是否受到影響,可以執行:
$ npm ls event-stream flatmap-stream ... [email protected] ...
如果在輸出裡面包含了 flatmap-stream 則說明你也可能被攻擊。
如果使用 yarn 則可以執行:
$ yarn why flatmap-stream
根據 issue 的描述,這次事件還非常具有戲劇性,因為攻擊者(@right9ctrl)在大概 3 個月前明目張膽的添加了攻擊程式碼,並提交到了 GitHub,隨後釋出到了 npm。於是 @FallingSnow 在 GitHub 上詢問“為什麼 @right9ctrl 有這個專案的訪問許可權呢?”
@dominictarr Why was @right9ctrl given access to this repo? He added flatmap-stream which is entirely (1 commit to the repo but has 3 versions, the latest one removes the injection, unmaintained, created 3 months ago) an injection targeting ps-tree.
不久這個倉庫的所有者(@dominictarr)給出了一個讓人哭笑不得的回覆:
他發郵件給我,說他想維護這個模組,於是我把模組所有權移交給了他。我沒有從這個模組得到任何回報,而且我已經好久不使用這個模組了,大概有好幾年了吧。
而且:我已經沒有釋出這個模組的許可權了。
作者已經把這個模組移交給了黑客。
$ npm owner ls event-stream right9ctrl <[email protected]>
從 GitHub 的提交記錄也可以看到,作者(@dominictarr)最後一次提交程式碼是去年 10 月。而之後黑客 @right9ctrl 也一直在維護此模組。但是在 3 個月前,黑客在 GitHub 上新建了一個 flatmap-stream 倉庫(內含惡意程式碼),並在這個專案中引用了自己的倉庫。
直到幾天前這個有漏洞的倉庫才被發現,然後 npm 緊急將這個含有惡意程式碼的 flatmap-stream 模組刪除了。
這段惡意程式碼目前還能在 GitHub 上看到,感興趣的可以自己去分析。攻擊者還是挺有心機的。
在評論區也出現了對 @dominictarr 的指責,輕易的將一個周下載量百萬級別的模組移交給了陌生人去維護。但是熟悉 @dominictarr 的人都知道,雖然 @dominictarr 不如 tj 大神那麼高產,但是 @dominictarr 也維護著 400 多個 npm 包,而維護這麼多包無疑花費了很多的時間和精力。
雖然我們不知道黑客(@right9ctrl)傳送的郵件是如何寫的,但是無容置疑的是,這封郵件使其獲得了 @dominictarr 的信任,再加上 @dominictarr 已經好久不使用這個包了,因此將所有權轉移給了黑客(@right9ctrl)。
而這次漏洞事件,也讓我們回過頭來重新反省 node.js 社群。
最後再次提醒:如果你是 vue 開發者,請務必檢查一下自己的專案。即使你不是 vue 開發者,最好也檢查一下,因為很多流行模組比如 nodemon、npm-run-all、ps-tree 也都受到了影響。