开源软件EventStream包含恶意代码
受欢迎的JavaScript库被感染了加密电脑- 通过恶意演员占据了开源项目后的安装代码。
eventStream,NPM存储库中的节点Exps的包已发现上周已发现才能注入目标Cryptowalet Copay的数据骤平代码。
储存库有超过1.7亿下载的,最初是由程序员Dominic Tarr编写的。
他一直在自愿维护图书馆,但他向一个名为Right9Ctrl的用户交给了他的出版权利和手名。
这是在此时,三个月前,Right9Ctrl释放了EventStream 3.3.6版,它在FlatMap-Stream 0.1.1上添加了依赖性。
此依赖项包含了恶意代码,激活它检测到驾驶,窃取用户的私钥并导致一些人相信Right9Ctrl正在尝试清空他们的Cryptowlets。
NPM已从其注册表中取得了依赖性,并且修复了被推出了。
到目前为止,Right9Ctrl没有回应他故意注入恶意代码的指控,而Tarr也被攻击在线。
他在这个问题上称赞,说明他没有控制项目,并没有保持“多年”。
但用户质疑他是否正确推迟责任 - 特别是因为他的声誉仍然附有它。
其他与Tarr相互联系,争论他自愿工作,善于善意,因此并不负责任。
无论在哪里发生故障,后卫发现再次突出显示通过使用软件依赖性可能出现的固有安全问题。
Prodion Manager(如JavaScript)的包管理器(如NPM)在其注册管理机构中包含数千个包,从培训的程序员团队构建和维护的主要图书馆范围内,以较小的内容。
没有确保这些依赖性的任务没有总体权威,依靠包管理人员可以创造巨大的安全风险。
用户正在为这些库提供完全访问他们的计算机 - 审计依赖项所需的时间和专业知识超出大多数开发人员。
有些人试图使软件依赖于更安全的选项。承诺消毒版本的包裹储存库的公司由于缺乏支付客户而未能起飞地面。
其他项目,如开源BUG赏金程序BOONTYPRAGH.向Dropbox等公司提供了支付依赖性的机会,直到它宣布它是下个月结束。
这一次再留下这个问题:谁将确保基础?
