域名频道资讯站上周二 Github 用户 Ayrton Sparling 报告了后门,本周一 NPM 才正式发出警告。恶意代码针对的是 Copay 钱包用户。Copay 开发的钱包应用在其代码中使用了 event-stream 依赖库。该公司一开始否认但最后承认它释出的应用包含了后门版本的 event-stream。该公司称使用 versions 5.0.2 到 5.1.0 的用户受到了后门影响。使用这些版本的用户应该假定他们的私钥已经被窃取了,需要尽可能快的升级到 5.2.0 版本。过去几年,此类的软件供应链攻击已经日益常见。
本文素材来自互联网
