npm 后门仓库被发现

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

这是一个创建于 2188 天前的主题，其中的信息可能已经有所发展或是发生改变。

大家自己看看有没中招吧

第 1 条附言 · 2018-11-27 17:26:10 +08:00

具体列表我没找到，目前看到的受影响的项目有
nodemon npm-run-all vue-cli，甚至 vscode 都受到了影响

第 2 条附言 · 2018-11-27 17:54:30 +08:00

@yorks
下边有人回复了一个比多一点的列表，虽然不是全部，还是可以看一看

https://github.com/dominictarr/event-stream/issues/116#issuecomment-441816665

npm

后门

仓库

讨论

28 条回复 • 2018-11-27 19:58:56 +08:00

des

2018-11-27 12:14:33 +08:00 via Android

这么严重的事情没人关心？

duan602728596

2018-11-27 12:17:12 +08:00 via iPhone

目前的项目还没用到 event-stream 这个包

des

2018-11-27 12:21:06 +08:00 via Android

@duan602728596
不是你没直接用到就没影响了，你可以去看看下载量。好多大型仓库都引用了，比如 nodemon

des

2018-11-27 12:22:25 +08:00 via Android

@des 说错，应该是好多有名的仓库都应用了

quinoa42

2018-11-27 12:43:55 +08:00

排查了下,自己写的几个小 project 都没依赖到,还好

Kirscheis

2018-11-27 12:48:28 +08:00 via Android

当年 leftpad 的事情之后竟然还有人相信这个奇妙的包管理方法。。翻车多少次也不奇怪

yuanfnadi

2018-11-27 13:01:35 +08:00

@duan602728596 vuecli nodemon

hujianxin

2018-11-27 13:03:56 +08:00

吃瓜

shuang

2018-11-27 13:10:03 +08:00

搜了下，用到了

rabbbit

2018-11-27 13:12:08 +08:00

这算中招了?

des

2018-11-27 13:14:19 +08:00 via Android

@rabbbit
是的，看见下面那个 flatmap-stream 了没，就是这货

hahastudio

2018-11-27 13:18:15 +08:00

eslint-scope 那件事之后，好像 npm 也没做什么

ecnelises

2018-11-27 13:24:05 +08:00

npm 已经算做得好的了，有人力财力搞自动扫描什么的，社区反应也比较快。只不过是出了问题影响的面大，所以关注的人比较多。想想其他语言社区像 PyPI、RubyGems 什么的（不过它们好像也不会一个项目依赖成百上千个包）

lovedebug

2018-11-27 13:24:38 +08:00

哎，Node 的生态问题，大公司贡献的优质库太少了

ChristopherWu

2018-11-27 13:35:12 +08:00

好像已经是 6 天前的新闻了-_- ，好像关注度不高啊，我也是中午刷朋友圈，看到 javac 的文章才知道。

不过，在你说的那个时候，我也在前端娱乐圈里加上了此新闻： http://qianduanyule.club/

123s

2018-11-27 13:39:59 +08:00

如果是偷数字货币，我觉得 80%的人可以安全躲过。但是 npm 的问题，怕是堵不完。

maichael

2018-11-27 13:42:07 +08:00

npm-run-all 也依赖了。今天才刚把这个东东清理掉了。

cstj0505

2018-11-27 13:45:37 +08:00

lz，为啥进了你的帖子背景变黑色了，其它还是正常的。
KDE+FF

dong3580

2018-11-27 13:47:53 +08:00

@cstj0505 节点主题色

liubo618

2018-11-27 13:48:30 +08:00

@rabbbit 兄弟我打开怎么发现没有呀![]( https://api.superbed.cn/pic/5bfcda09c4ff9e05833a0c7f)

chengluyu

2018-11-27 13:49:11 +08:00

npm 的问题在于包太碎了，一个很小的函数都可以做成单独的包，导致最终的项目中可能依赖上千个包。要是 Python 的话，一般的项目顶多用几十个包，谁有问题一眼就看出来了。

Removable

2018-11-27 13:54:26 +08:00

@cstj0505 #18 一些特别的节点会有特别的背景色，比如“问与答”“程序员”“酷工作”“英雄联盟”

bhaltair

2018-11-27 14:13:06 +08:00

vue 中枪了

az402

2018-11-27 16:28:10 +08:00

antd-pro 中枪

sigup

2018-11-27 16:34:54 +08:00

挖矿太容易被发现了，试想一下，如果是给你装个 rootkit。。

yorks

2018-11-27 16:42:44 +08:00

有没有中枪列表？ @des 收集一下 append 上去？

yksoft1

2018-11-27 16:47:18 +08:00

@sigup node 一般不会有人以高权限运行吧？除非配合 0day

chengfeng

2018-11-27 19:58:56 +08:00 via iPhone

关键是作者的处理方式吧，自己不维护了就随便丢给别人了