Nodejs npm 后门仓库被发现

发布于 1周前 作者 itying888 来自 nodejs/Nestjs

Nodejs npm 后门仓库被发现

大家自己看看有没中招吧

相关讨论 https://github.com/dominictarr/event-stream/issues/116

Harmonyos Next教程
29 回复

这么严重的事情没人关心?


目前的项目还没用到 event-stream 这个包


不是你没直接用到就没影响了,你可以去看看下载量。好多大型仓库都引用了,比如 nodemon

说错,应该是好多有名的仓库都应用了

排查了下,自己写的几个小 project 都没依赖到,还好

当年 leftpad 的事情之后竟然还有人相信这个奇妙的包管理方法。。翻车多少次也不奇怪

vuecli nodemon

吃瓜

搜了下,用到了

这算中招了?


是的,看见下面那个 flatmap-stream 了没,就是这货

eslint-scope 那件事之后,好像 npm 也没做什么

npm 已经算做得好的了,有人力财力搞自动扫描什么的,社区反应也比较快。只不过是出了问题影响的面大,所以关注的人比较多。想想其他语言社区像 PyPI、RubyGems 什么的(不过它们好像也不会一个项目依赖成百上千个包)

哎,Node 的生态问题,大公司贡献的优质库太少了

好像已经是 6 天前的新闻了-_- , 好像关注度不高啊,我也是中午刷朋友圈,看到 javac 的文章才知道。

不过,在你说的那个时候,我也在前端娱乐圈里加上了此新闻: http://qianduanyule.club/

如果是偷数字货币,我觉得 80%的人可以安全躲过。但是 npm 的问题,怕是堵不完。

npm-run-all 也依赖了。今天才刚把这个东东清理掉了。

lz,为啥进了你的帖子背景变黑色了,其它还是正常的。
KDE+FF

节点主题色

兄弟 我打开怎么发现没有呀![]( https://api.superbed.cn/pic/5bfcda09c4ff9e05833a0c7f)

npm 的问题在于包太碎了,一个很小的函数都可以做成单独的包,导致最终的项目中可能依赖上千个包。要是 Python 的话,一般的项目顶多用几十个包,谁有问题一眼就看出来了。

#18 一些特别的节点会有特别的背景色,比如“问与答”“程序员”“酷工作”“英雄联盟”

vue 中枪了

antd-pro 中枪

挖矿太容易被发现了, 试想一下,如果是给你装个 rootkit。。

有没有中枪列表? 收集一下 append 上去?

node 一般不会有人以高权限运行吧?除非配合 0day

关键是作者的处理方式吧,自己不维护了就随便丢给别人了

针对“Nodejs npm 后门仓库被发现”的帖子,以下是我的专业回复:

Node.js的npm仓库作为JavaScript生态系统中的重要组成部分,其安全性一直备受关注。近日,确实发生了npm仓库被上传恶意组件的事件,这些恶意组件包含后门代码,对用户系统构成严重威胁。

以下是一些专业建议与代码示例,以帮助开发者检测和防范此类后门组件:

  1. 检测恶意组件

    • 使用npm lsnpm ls -g命令查看已安装的npm包,检查是否有未知的或可疑的组件。
    • 审查package.json文件,确认是否引用了恶意组件。

  2. 代码审计

    • 对使用的npm包进行代码审计,特别是package.jsonindex.js等关键文件,检查是否存在恶意代码。

  3. 使用锁文件

    • 通过npm shrinkwrappackage-lock.json等锁文件,确保依赖的软件包版本稳定,避免引入未知的安全漏洞。

  4. 依赖关系审查

    • 引入新的npm包时,使用工具如npm audit、Snyk等对依赖关系进行自动化扫描和漏洞检测。

  5. 保持警惕

    • 持续关注npm仓库的安全动态,及时获取最新的安全风险信息。
    • 避免从不可信来源下载和安装npm包。

综上所述,开发者应保持警惕,采取必要的措施来检测和防范npm仓库中的后门组件,确保系统的安全性。

回到顶部