原文:https://mp.weixin.qq.com/s?__…
微信公众号: 毛毛虫的小小蜡笔
最近跟敌人闲聊,聊起之前呈现的 npm 包破绽,导致能够在终端上进行投毒攻打、挖矿以及窃取明码。
所以这里再次讲下相干问题。
ua-parse-js 破绽呈现和解决
收到各个群的音讯以及邮件告诉
破绽和问题,如下截图所示:
前面看到 npm 上也有阐明,把有问题的版本以及打补丁的版本都列出来,高深莫测。
如下截图所示:
疾速解决问题
首先须要晓得本人的我的项目,是否有援用 ua-parser-js 包。
步骤:
1、查看我的项目的根目录下的 package.json。
一眼看完,是没有援用的。
2、查看 node_modules 目录下的依赖包。
搜寻了下,发现还真有。
如下截图所示:
那是不是就慌了?
其实不必,不论是否有问题,都是要解决的。
尽管能搜到有援用,但还须要进一步看看是哪个包援用,怎么援用。
查看了代码的援用关系链,具体如下所示:
steam-http 依赖 ua-parser-js
node-libs-browser 依赖 steam-http
eslint-import-resolver-webpack 依赖 node-libs-browser
@vue/eslint-config-standard 依赖 eslint-import-resolver-webpack
也就是 steam-http 这个包依赖了 ua-parser-js,但其版本不是有问题的版本。
而且是在 devDependencies 中援用的,那必定不会在打包后的代码外面了。
3、通过 npm list xxx 查看
的确是没有装置 ua-parse-js 的。
如下截图所示:
stream-http 的依赖跟下面搜寻进去的差不多,也是没有援用 ua-parser-js 的。
如下截图所示:
也能够通过 npm list –all,查看我的项目下的所有包依赖状况。
拷贝到文本中,全局搜寻后,是找不到 ua-parse-js 的。
如下截图所示:
另外,也能够通过上面两种办法来查看
1、通过查看 yarn.lock 文件
也是没看到 ua-parser-js 的。
而且 stream-http 下也没有 ua-parsre-js。
如下截图所示:
2、通过 grep 命令来查看 grep -rnw . -e 'ua-parser-js' --include={yarn.lock,package-lock.json,package.json}
那这个 steam-http 为啥会援用 ua-parser-js 呢?
通过在 stream-http 代码搜寻,发现 ua-parser-js 是在 stream-http 的 test 目录下的,node_modules 目录下是没有的。
如下截图所示:
这个 test 文件夹是依赖包做测试用的。不会被引入到依赖 stream-http 的我的项目中。
其余
版本号后面的 ^
尽管当初没援用 ua-parse-js,但假如援用了,但援用的版本不是有问题的版本,而是 ^0.7.18 版本,那会不会有问题呢?
还是有问题的,尽管以后的版本不受影响,但一旦降级,就会更新到 0.7.29 版本,而这个版本是有问题的,所以降级的时候要指定版本号。
然而 npm 官网曾经去掉了有问题的版本,所以更新后只能到 0.7.30 版本,也就是不会降级到有问题的版本了。
ua-parser-js 破绽是如何执行恶意代码的?
是因为 package.json 外面的 scripts 字段。在 npm install 的时候,会执行一段 payload。
npm install 是有生命周期的。也执行的之前,会先执行什么,执行之后继续执行什么命令。
比照下有问题的代码,就一清二楚了。
如下截图所示:
最初
- 公众号《毛毛虫的小小蜡笔》
有疑难和问题,请留言。
如果感觉文章还能够,请点赞或珍藏,谢谢。