JavaScript公共库event-stream被植入恶意代码预警的示例分析

这篇文章给大家介绍JavaScript公共库event-stream被植入恶意代码预警的示例分析，内容非常详细，感兴趣的小伙伴们可以参考借鉴，希望对大家能有所帮助。

成都创新互联主营淮阳网站建设的网络公司,主营网站建设方案,成都app软件开发公司,淮阳h5微信小程序搭建,淮阳网站营销推广欢迎淮阳等地区企业咨询

0x00 事件背景

2018年11月21日，名为FallingSnow的用户在知名JavaScript应用库event-stream在github Issuse中发布了针对植入的恶意代码的疑问，表示event-stream中存在用于窃取用户数字钱包的恶意代码。

360-CERT从该Issuse中得知，大约三个月前，由于缺乏时间和兴趣，event-stream原作者@dominictarr将其开发交给另一位名为@Right9ctrl的程序员。

随后，Right9ctrl发布了包含新依赖关系的Event-Stream 3.3.6 - Flatmap-Stream0.1.1。
其中，Flatmap-Stream v0.1.1 正是是包含恶意代码的npm package。
据分析，该package中的恶意代码主要作用是:它将窃取用户的钱包信息，包括私钥，并将其发送到copayapi.host的8080端口上，目前npm官网已经下架处理。

在实际生产应用中，event-stream库属于一个跨平台的应用，影响面会比较广泛。
360-CERT建议相关用户，特别是互联网相关的企业，应该针对自身IDC线上环境、办公网环境进行安全评估。