====== 差别 ======
这里会显示出您选择的修订版和当前版本之间的差别。
篡改_npm_包盗取比特币始末 [2023/02/09 11:28] 若愚 创建 |
篡改_npm_包盗取比特币始末 [2023/02/09 11:28] (当前版本) 若愚 |
||
---|---|---|---|
行 4: | 行 4: | ||
比特币钱包 Copay 被依赖链攻击这个瓜上周在技术圈里被广泛讨论,我在看了众多大神分析之后理清了前因后果。在这里也给大家来分享一波黑客是如何一步步实施他的惊人计划的。 | 比特币钱包 Copay 被依赖链攻击这个瓜上周在技术圈里被广泛讨论,我在看了众多大神分析之后理清了前因后果。在这里也给大家来分享一波黑客是如何一步步实施他的惊人计划的。 | ||
- | ## **一、 背景介绍** | + | ## 一、 背景介绍 |
[event-stream](https:// | [event-stream](https:// | ||
行 34: | 行 34: | ||
- 第四步,10 月 5 日,[flatmap-stream\@0.1.1](https:// | - 第四步,10 月 5 日,[flatmap-stream\@0.1.1](https:// | ||
- | ## **二、盗窃与曝光** | + | ## 二、盗窃与曝光 |
**盗窃** | **盗窃** | ||
行 65: | 行 65: | ||
攻击与发现 | 攻击与发现 | ||
- | ## **三、代码分析** | + | ## 三、代码分析 |
现在让我们通过回溯代码来一步步分析黑客是怎么实施他的盗窃的,如果不愿意看详细分析也可以直接跳到章节最后的总结图:) | 现在让我们通过回溯代码来一步步分析黑客是怎么实施他的盗窃的,如果不愿意看详细分析也可以直接跳到章节最后的总结图:) | ||
行 235: | 行 235: | ||
![](https:// | ![](https:// | ||
- | ## **四、影响与反思** | + | ## 四、影响与反思 |
问题暴露后,copay 钱包项目组做了紧急修复并上线v5.2.0版本,但依然还有大量的未更新的钱包老版本(v5.0.2 \~ v5.1.0)中毒,他们也建议用户自行升级并将比特币转移到新的钱包中。目前已有用户声称钱包里的比特币被盗,copay 声称正在解决此事汇总。 | 问题暴露后,copay 钱包项目组做了紧急修复并上线v5.2.0版本,但依然还有大量的未更新的钱包老版本(v5.0.2 \~ v5.1.0)中毒,他们也建议用户自行升级并将比特币转移到新的钱包中。目前已有用户声称钱包里的比特币被盗,copay 声称正在解决此事汇总。 | ||
行 257: | 行 257: | ||
我们能做也许只有在引用依赖之前,仔细审核一下被引用的包。同时,对经过安全认证的包锁住版本,确保不会引入新的有毒依赖包。 | 我们能做也许只有在引用依赖之前,仔细审核一下被引用的包。同时,对经过安全认证的包锁住版本,确保不会引入新的有毒依赖包。 | ||
- | ## **参考文档** | + | ## 参考文档 |
- [event-stream vulnerability explained](https:// | - [event-stream vulnerability explained](https:// | ||
行 265: | 行 265: | ||
> 饥人谷一直致力于培养有灵魂的编程者,打造专业有爱的国内前端技术圈子。如造梦师一般帮助近千名不甘寂寞的追梦人把编程梦变为现实,他们以饥人谷为起点,足迹遍布包括facebook、阿里巴巴、百度、网易、京东、今日头条、大众美团、饿了么、ofo在内的国内外大小企业。 了解培训课程:加微信 [xiedaimala03](https:// | > 饥人谷一直致力于培养有灵魂的编程者,打造专业有爱的国内前端技术圈子。如造梦师一般帮助近千名不甘寂寞的追梦人把编程梦变为现实,他们以饥人谷为起点,足迹遍布包括facebook、阿里巴巴、百度、网易、京东、今日头条、大众美团、饿了么、ofo在内的国内外大小企业。 了解培训课程:加微信 [xiedaimala03](https:// | ||
- | > 本文作者:饥人谷若愚老师 | + | > 本文作者:饥人谷方应杭老师 |