npm 错误！ 404 未找到：事件流@3.3.6

tldr;

天啊！事实证明，事件流包有一个漏洞，允许黑客窃取比特币。

要修复它，您需要更新您的 event-stream 包。

1. 删除 node_modules 文件夹。
2. 删除 package-lock.json 文件。
3. 运行 npm install 。

这应该将您的软件包更新为安全版本，您应该一切顺利。

以下是 NPM 博客的官方回复：

关于事件流事件的详细信息 这是对本周早些时候你们中的许多人意识到的事件流事件的分析。 npm 会立即采取行动解决影响我们社区安全的运营问题和问题，但我们通常会在讨论事件之前进行更彻底的分析——我们知道您一直在等待。

11 月 26 日上午，npm 的安全团队接到通知，一个恶意程序包已进入流行的 npm 程序包 event-stream。在对恶意软件进行分类后，npm Security 通过从注册表中删除 flatmap-stream 和 event-stream@3.3.6 并取得 event-stream 包的所有权以防止进一步滥用作为回应。

恶意包是 flatmap-stream 的 0.1.1 版。 2018 年 9 月 9 日，新的维护者在 3.3.6 版本中将这个包添加为 event-stream 包的直接依赖项。事件流包被广泛使用，但恶意代码针对的是一家公司的开发人员，该公司的开发环境设置非常具体：在任何其他环境中运行有效载荷都没有效果。这种特定的目标意味着最终大多数开发人员即使错误地安装了恶意模块也不会受到影响。

注入的代码以 Copay 应用程序为目标。当 Copay 的开发人员运行他们的发布构建脚本之一时，生成的代码会在捆绑到应用程序之前进行修改。该代码旨在从余额超过 100 比特币或 1000 比特币现金的账户中获取账户详细信息和私钥。

Copay 最初的回应是没有向公众发布包含此恶意代码的构建，但我们现在从 Copay 确认“恶意代码部署在 5.0.2 到 5.1.0 版本上”。

攻击 这种攻击最初是一种社会工程攻击。攻击者冒充维护者，接管了事件流模块的维护。

技术细节 这里有一些我们知道的技术细节，供那些对此感兴趣的人参考。

注入的代码：

从伪装成测试夹具的文件中读取 AES 加密数据 使用自动设置的环境变量获取导入它的模块的 npm 包描述 使用包描述作为密钥来解密从伪装文件中提取的数据块解密的数据是模块的一部分，然后在内存中编译并执行。

该模块执行了以下操作：

从伪装的文件中解密另一块数据 从第一个解密块到第二个解密块的末尾连接一个小的注释前缀 执行次要解码任务以将连接的代码块从无效 JS 转换为有效 JS（我们认为这是这样做是为了逃避动态分析工具的检测）将这个经过处理的 JS 块写到一个存储在依赖项中的文件中，该依赖项将由构建脚本打包：写出的代码块是实际的恶意代码，旨在运行在 Copay 最终用户拥有的设备上。

此代码将执行以下操作：

检测当前环境：Mobile/Cordova/Electron 检查受害者共付账户上的比特币和比特币现金余额 如果当前余额大于 100 比特币，或 1000 比特币现金： 完整获取受害者的账户数据 获取受害者的共付私钥将受害者的帐户数据/私钥发送到在 111.90.151.134 上运行的收集服务。对于 Copay 应用的用户，bitpay 建议，“如果您使用的是 5.0.2 到 5.1.0 的任何版本，则不应运行或打开 Copay 应用。”

对于 npm 用户，您可以通过运行 npm audit 来检查您的项目是否包含易受攻击的依赖项。如果您已安装此事件流的受影响版本，我们建议您尽快更新到更高版本。

原文由 Matt 发布，翻译遵循 CC BY-SA 4.0 许可协议