饥人谷Wiki

站点工具

用户工具

====== 差别 ======

这里会显示出您选择的修订版和当前版本之间的差别。

到此差别页面的链接

篡改_npm_包盗取比特币始末 [2023/02/09 11:28]
若愚 创建 		篡改_npm_包盗取比特币始末 [2023/02/09 11:28] (当前版本)
若愚
行 4: 行 4:
 比特币钱包 Copay 被依赖链攻击这个瓜上周在技术圈里被广泛讨论,我在看了众多大神分析之后理清了前因后果。在这里也给大家来分享一波黑客是如何一步步实施他的惊人计划的。 比特币钱包 Copay 被依赖链攻击这个瓜上周在技术圈里被广泛讨论,我在看了众多大神分析之后理清了前因后果。在这里也给大家来分享一波黑客是如何一步步实施他的惊人计划的。
  
-## **一、 背景介绍**+## 一、 背景介绍
  
 [event-stream](https://link.zhihu.com/?target=https%3A//github.com/dominictarr/event-stream/issues) 是开源社区里一个用于处理 Node.js 流数据的 npm 包,它使得创建和使用流变得容易,正是因此,受到了广大开发者的欢迎,目前这个库上周下载量达到了[165万](https://link.zhihu.com/?target=https%3A//www.npmjs.com/package/event-stream)。 [event-stream](https://link.zhihu.com/?target=https%3A//github.com/dominictarr/event-stream/issues) 是开源社区里一个用于处理 Node.js 流数据的 npm 包,它使得创建和使用流变得容易,正是因此,受到了广大开发者的欢迎,目前这个库上周下载量达到了[165万](https://link.zhihu.com/?target=https%3A//www.npmjs.com/package/event-stream)。
行 34: 行 34:
 - 第四步,10 月 5 日,[flatmap-stream\@0.1.1](https://link.zhihu.com/?target=https%3A//unpkg.com/flatmap-stream%400.1.1/index.min.js) 版本被一个名为 [\@hugeglass](https://link.zhihu.com/?target=https%3A//github.com/hugeglass) 的用户推送到了 NPM。而这次释出的更新中该模块就被加入了窃取比特币钱包的用户信息和秘钥。通俗的来说就好比用户的网银账号、密码和U盾一起被盗了。 - 第四步,10 月 5 日,[flatmap-stream\@0.1.1](https://link.zhihu.com/?target=https%3A//unpkg.com/flatmap-stream%400.1.1/index.min.js) 版本被一个名为 [\@hugeglass](https://link.zhihu.com/?target=https%3A//github.com/hugeglass) 的用户推送到了 NPM。而这次释出的更新中该模块就被加入了窃取比特币钱包的用户信息和秘钥。通俗的来说就好比用户的网银账号、密码和U盾一起被盗了。
  
-## **二、盗窃与曝光**+## 二、盗窃与曝光
  
 **盗窃** **盗窃**
行 65: 行 65:
 攻击与发现 攻击与发现
  
-## **三、代码分析**+## 三、代码分析
  
 现在让我们通过回溯代码来一步步分析黑客是怎么实施他的盗窃的,如果不愿意看详细分析也可以直接跳到章节最后的总结图:) 现在让我们通过回溯代码来一步步分析黑客是怎么实施他的盗窃的,如果不愿意看详细分析也可以直接跳到章节最后的总结图:)
行 235: 行 235:
 ![](https://pic3.zhimg.com/v2-b346f4af78f7467a118ebd19539b7af2_b.jpg) ![](https://pic3.zhimg.com/v2-b346f4af78f7467a118ebd19539b7af2_b.jpg)
  
-## **四、影响与反思**+## 四、影响与反思
  
 问题暴露后,copay 钱包项目组做了紧急修复并上线v5.2.0版本,但依然还有大量的未更新的钱包老版本(v5.0.2 \~ v5.1.0)中毒,他们也建议用户自行升级并将比特币转移到新的钱包中。目前已有用户声称钱包里的比特币被盗,copay 声称正在解决此事汇总。 问题暴露后,copay 钱包项目组做了紧急修复并上线v5.2.0版本,但依然还有大量的未更新的钱包老版本(v5.0.2 \~ v5.1.0)中毒,他们也建议用户自行升级并将比特币转移到新的钱包中。目前已有用户声称钱包里的比特币被盗,copay 声称正在解决此事汇总。
行 257: 行 257:
 我们能做也许只有在引用依赖之前,仔细审核一下被引用的包。同时,对经过安全认证的包锁住版本,确保不会引入新的有毒依赖包。 我们能做也许只有在引用依赖之前,仔细审核一下被引用的包。同时,对经过安全认证的包锁住版本,确保不会引入新的有毒依赖包。
  
-## **参考文档**+## 参考文档
  
 - [event-stream vulnerability explained](https://link.zhihu.com/?target=https%3A//schneid.io/blog/event-stream-vulnerability-explained/) - [event-stream vulnerability explained](https://link.zhihu.com/?target=https%3A//schneid.io/blog/event-stream-vulnerability-explained/)
行 265: 行 265:
 > 饥人谷一直致力于培养有灵魂的编程者,打造专业有爱的国内前端技术圈子。如造梦师一般帮助近千名不甘寂寞的追梦人把编程梦变为现实,他们以饥人谷为起点,足迹遍布包括facebook、阿里巴巴、百度、网易、京东、今日头条、大众美团、饿了么、ofo在内的国内外大小企业。 了解培训课程:加微信 [xiedaimala03](https://wiki.jirengu.com/lib/exe/fetch.php?w=400&tok=5c45ca&media=%E9%A5%A5%E4%BA%BA%E8%B0%B7%E4%BC%81%E4%B8%9A%E5%BE%AE%E4%BF%A1%E5%B0%8F%E5%8A%A9%E7%90%86black.png),官网:https://jirengu.com > 饥人谷一直致力于培养有灵魂的编程者,打造专业有爱的国内前端技术圈子。如造梦师一般帮助近千名不甘寂寞的追梦人把编程梦变为现实,他们以饥人谷为起点,足迹遍布包括facebook、阿里巴巴、百度、网易、京东、今日头条、大众美团、饿了么、ofo在内的国内外大小企业。 了解培训课程:加微信 [xiedaimala03](https://wiki.jirengu.com/lib/exe/fetch.php?w=400&tok=5c45ca&media=%E9%A5%A5%E4%BA%BA%E8%B0%B7%E4%BC%81%E4%B8%9A%E5%BE%AE%E4%BF%A1%E5%B0%8F%E5%8A%A9%E7%90%86black.png),官网:https://jirengu.com
  
-> 本文作者:饥人谷若愚老师+> 本文作者:饥人谷方应杭老师
  
若愚 · 2023/02/09 11:28 · 篡改_npm_包盗取比特币始末.1675913284.txt.gz
公众号 | 前端交流群 | 饥人谷版权所有 | 购买课程

页面工具