太长,读不下go 了
天哪!事实证明,事件流包有一个漏洞,允许黑客窃取比特币.
要修复它,你需要更新你的event-stream
包.
node_modules
文件夹.package-lock.json
文件.npm install
.这将更新你的软件包到一个安全的版本,你应该可以很好地go .
以下是NPM博客的官方回复:
关于事件流事件的详细信息这是对
11月26日上午,npm的安全团队接到了一个通知
恶意软件包是flatmap stream的0.1.1版.这
注入的代码以Copay应用程序为目标.当一个开发者
Copay最初的回应是,没有包含这个的构建
这次攻击最初是一次社会工程攻击.这个
这里的技术细节是我们知道的一些技术细节
注入的代码:
从伪装成测试fixture 的文件中读取AES加密数据
此模块执行了以下操作:
解密了伪装文件中的另一个数据块
此代码将执行以下操作:
检测当前环境:Mobile/Cordova/Electron判断
对于npm用户,您可以判断您的项目是否包含易受攻击的