V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
des
V2EX  ›  Node.js

npm 后门仓库被发现

  •  1
     
  •   des · 2018-11-27 12:06:12 +08:00 via Android · 9400 次点击
    这是一个创建于 2219 天前的主题,其中的信息可能已经有所发展或是发生改变。

    大家自己看看有没中招吧

    相关讨论 https://github.com/dominictarr/event-stream/issues/116

    第 1 条附言  ·  2018-11-27 17:26:10 +08:00
    具体列表我没找到,目前看到的受影响的项目有
    nodemon npm-run-all vue-cli,甚至 vscode 都受到了影响
    第 2 条附言  ·  2018-11-27 17:54:30 +08:00
    @yorks
    下边有人回复了一个比多一点的列表,虽然不是全部,还是可以看一看

    https://github.com/dominictarr/event-stream/issues/116#issuecomment-441816665
    28 条回复    2018-11-27 19:58:56 +08:00
    des
        1
    des  
    OP
       2018-11-27 12:14:33 +08:00 via Android
    这么严重的事情没人关心?
    duan602728596
        2
    duan602728596  
       2018-11-27 12:17:12 +08:00 via iPhone
    目前的项目还没用到 event-stream 这个包
    des
        3
    des  
    OP
       2018-11-27 12:21:06 +08:00 via Android
    @duan602728596
    不是你没直接用到就没影响了,你可以去看看下载量。好多大型仓库都引用了,比如 nodemon
    des
        4
    des  
    OP
       2018-11-27 12:22:25 +08:00 via Android
    @des 说错,应该是好多有名的仓库都应用了
    quinoa42
        5
    quinoa42  
       2018-11-27 12:43:55 +08:00
    排查了下,自己写的几个小 project 都没依赖到,还好
    Kirscheis
        6
    Kirscheis  
       2018-11-27 12:48:28 +08:00 via Android   ❤️ 1
    当年 leftpad 的事情之后竟然还有人相信这个奇妙的包管理方法。。翻车多少次也不奇怪
    yuanfnadi
        7
    yuanfnadi  
       2018-11-27 13:01:35 +08:00
    @duan602728596 vuecli nodemon
    hujianxin
        8
    hujianxin  
       2018-11-27 13:03:56 +08:00
    吃瓜
    shuang
        9
    shuang  
       2018-11-27 13:10:03 +08:00
    搜了下,用到了
    rabbbit
        10
    rabbbit  
       2018-11-27 13:12:08 +08:00
    这算中招了?
    des
        11
    des  
    OP
       2018-11-27 13:14:19 +08:00 via Android
    @rabbbit
    是的,看见下面那个 flatmap-stream 了没,就是这货
    hahastudio
        12
    hahastudio  
       2018-11-27 13:18:15 +08:00
    eslint-scope 那件事之后,好像 npm 也没做什么
    ecnelises
        13
    ecnelises  
       2018-11-27 13:24:05 +08:00
    npm 已经算做得好的了,有人力财力搞自动扫描什么的,社区反应也比较快。只不过是出了问题影响的面大,所以关注的人比较多。想想其他语言社区像 PyPI、RubyGems 什么的(不过它们好像也不会一个项目依赖成百上千个包)
    lovedebug
        14
    lovedebug  
       2018-11-27 13:24:38 +08:00
    哎,Node 的生态问题,大公司贡献的优质库太少了
    ChristopherWu
        15
    ChristopherWu  
       2018-11-27 13:35:12 +08:00
    好像已经是 6 天前的新闻了-_- , 好像关注度不高啊,我也是中午刷朋友圈,看到 javac 的文章才知道。

    不过,在你说的那个时候,我也在前端娱乐圈里加上了此新闻: http://qianduanyule.club/
    123s
        16
    123s  
       2018-11-27 13:39:59 +08:00
    如果是偷数字货币,我觉得 80%的人可以安全躲过。但是 npm 的问题,怕是堵不完。
    maichael
        17
    maichael  
       2018-11-27 13:42:07 +08:00
    npm-run-all 也依赖了。今天才刚把这个东东清理掉了。
    cstj0505
        18
    cstj0505  
       2018-11-27 13:45:37 +08:00
    lz,为啥进了你的帖子背景变黑色了,其它还是正常的。
    KDE+FF
    dong3580
        19
    dong3580  
       2018-11-27 13:47:53 +08:00
    @cstj0505 节点主题色
    liubo618
        20
    liubo618  
       2018-11-27 13:48:30 +08:00
    @rabbbit 兄弟 我打开怎么发现没有呀![]( https://api.superbed.cn/pic/5bfcda09c4ff9e05833a0c7f)
    chengluyu
        21
    chengluyu  
       2018-11-27 13:49:11 +08:00
    npm 的问题在于包太碎了,一个很小的函数都可以做成单独的包,导致最终的项目中可能依赖上千个包。要是 Python 的话,一般的项目顶多用几十个包,谁有问题一眼就看出来了。
    Removable
        22
    Removable  
       2018-11-27 13:54:26 +08:00
    @cstj0505 #18 一些特别的节点会有特别的背景色,比如“问与答”“程序员”“酷工作”“英雄联盟”
    bhaltair
        23
    bhaltair  
       2018-11-27 14:13:06 +08:00
    vue 中枪了
    az402
        24
    az402  
       2018-11-27 16:28:10 +08:00
    antd-pro 中枪
    sigup
        25
    sigup  
       2018-11-27 16:34:54 +08:00
    挖矿太容易被发现了, 试想一下,如果是给你装个 rootkit。。
    yorks
        26
    yorks  
       2018-11-27 16:42:44 +08:00
    有没有中枪列表? @des 收集一下 append 上去?
    yksoft1
        27
    yksoft1  
       2018-11-27 16:47:18 +08:00
    @sigup node 一般不会有人以高权限运行吧?除非配合 0day
    chengfeng
        28
    chengfeng  
       2018-11-27 19:58:56 +08:00 via iPhone
    关键是作者的处理方式吧,自己不维护了就随便丢给别人了
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1249 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 17:49 · PVG 01:49 · LAX 09:49 · JFK 12:49
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.