800万下载量的npm包被黑客篡改，你的设备或成挖矿机；苹果上线编程一小时；广电参与5G建设；Kubernetes 1.12.3

Posted 2021-04-16 程序员头条

0、800 万次下载量的 npm 包 代码被黑客篡改，你的设备或正成为挖矿机‍

昨日，不少开发者“原地爆炸”，因为一个每周 npm 下载量超过 200 万的 package 被注入了恶意代码，黑客利用该恶意代码访问热门 javascript 库，目标是 copay（开源比特币钱包）及其衍生产品的用户，以此窃取用户的数字货币。事情是这样的：

数月前，在 GitHub 上这个库的维护者@dominictarr 因为缺乏时间和兴趣无法继续维护这个库了，于是就将该库转让给了一个完全不认识却又想要维护的陌生人@right9ctrl ，接而不少开发者的噩梦就此开始了。

‍

今年 10 月 5 日，flatmap-stream 0.0.1 版本被一个名为“hugeglass”的用户推送到了 NPM。释出的更新中该模块就被加入了窃取比特币钱包并转移出余额的功能。

因此，自 10 月 5 日以来，任何通过 event-stream 库并使用被植入恶意代码 flatmap-stream 的开发者都可能受到恶意脚本的攻击。而据统计，自 2018 年 9 月更新以来，恶意包已下载近 800 万次。

如果，你也使用该npm包，想知道自己是否受影响，可运行以下代码：

$ npm ls event-stream flatmap-stream
...
flatmap-stream@0.1.1
...

如果在输出里面包含了 flatmap-stream 则说明你也可能被攻击。目前，npm已经删除了带有恶意代码的 event-stream 版本，如果想继续使用，需更新到 event-stream  3.3.4 版本。

最后，GitHub 的评论区都在争论开源项目作者是否应该对类似事件负责，因为它关乎上万开发者和项目的安全，而此事是作者的失职，对此，你怎么看？

【程序员头条】

1、Dubbo 2.6.5 发布，里程碑版本 2.7.0 前哨‍

在下一个里程碑版本2.7.0中，Dubbo 将围绕 异步支持优化、元数据改造，支持配置中心，路由规则优化和引入JDK8的特性等方面提升服务调用和服务治理的效率，以及可扩展性。此外还会增强一些功能并修改一些bug。

此次发布的2.6.5作为2.7.0的前哨版本，主要改进如下：

● 重构@service的BeanName的生成规则 #2235

● 为ServiceBean的导出引入新的Spring ApplicationEvent #2251

● [功能]在window系统下获取负载的方式优化 #1641

● ......（详情：https://github.com/apache/incubator-dubbo/issues/1755）

2、容器调度管理工具 Kubernetes 1.12.3 发布‍

Kubernetes 是一个开源的、用于管理云平台中多个主机上的容器化的应用，Kubernetes 1.12.3 更新内容：

● Fixes an issue with stuck connections handling error responses (#71413, @liggitt)

● remove retry operation on attach/detach azure disk (#70568, @andyzhangx)

● Fix CSI volume limits not showing up in node's capacity and allocatable (#70540, @gnufied)

● ......（详情：https://github.com/kubernetes/kubernetes/releases/tag/v1.12.3）

3、php 集成开发环境 PhpStorm 2018.2.6 发布‍

PhpStorm 2018.2.6(build 182.5107.45) 已发布。值得关注的 bug 修复：

● Fixed: Search Everywhere not opening file on Linux (IDEA-200654 +37)

● Fixed: Find/Replace in Path closes immediately (IDEA-199986 +14)

● Fixed: Floating toolwindows can’t be moved (IDEA-196606 +5)

● ......（详情：https://confluence.jetbrains.com/display/PhpStorm/PhpStorm+2018.2.6+Release+Notes）

4、Spring Framework 5.1.3, 5.0.11 和 4.3.21 发布‍

Spring Framework 5.1.3, 5.0.11 和 4.3.21 发布了。5.1 系列的第三个维护版本包括超过 45 个修复和改进。Spring Framework 5.0.11 也包括了 34 个修复和改进，而 Spring Framework 4.3.21 正如预期的那样，是一个相当小的补丁版本。

基于 Spring Framework 5.1.3 的 Spring Boot 2.1 的第一个维护候选版也即将发布，此外还将在本周晚些时候跟进相应的 Spring Boot 2.0.7 和 1.5.18 版本。（详情：https://jira.spring.io/secure/ReleaseNote.jspa?projectId=10000&version=17248）

5、Chrome 和 Firefox 开发者计划移除对 FTP 的支持‍

Chrome 和 Firefox 开发者都计划移除对 FTP 协议的支持，理由是 FTP 不安全会增加攻击面。Debian 和  Linux内核官网 kernel.org 都关闭了 FTP 服务器，而 Chrome 也把 FTP 网站标记为不安全。‍

6、Rails 4.2.11, 5.0.7.1, 5.1.6.1 和 5.2.1.1 发布‍

Rails 4.2.11, 5.0.7.1, 5.1.6.1 和 5.2.1.1 已发布。这些版本包含以下重要的安全修复程序，建议用户尽快升级：

● CVE-2018-16476 Broken Access Control vulnerability in Active Job

● Rails 5.2.1.1 还包括以下安全修复：

● CVE-2018-16477 Bypass vulnerability in Active Storage

● ......（详情：https://github.com/rails/rails/releases）

7、苹果上线编程一小时报名页面‍

苹果官网上线「编程一小时」（Hour of Code）活动，线上报名后可到选定的 Apple Store 接受免费课程。苹果宣布从下月起，全世界各地 Apple Store 将举办数千场讲座，专业讲解员会带领到店者学习 Swift 编程语言。除了免费讲座之外，苹果还将推出「编程俱乐部活动指南」，同样可以用来学习 Swift 编程的相关知识。如果你也想学点编程，不妨亲自体验一把。‍

【科技头条】

1、国外公司发现新型僵尸网络攻击：专门攻击智能电视‍

根据外媒报道，美国数字媒体测量软件和分析独立供应商 DoubleVerify（“DV”）近日宣布发现了专门针对联网电视（CTV）设备的新僵尸网络。据介绍，CTV 设备的流量激增 40% 之后，DV发现了该僵尸网络。为了生成欺诈性展示，僵尸网络欺骗了真正的发布商网址，发送错误信号，告诉广告服务器该展示来自 CTV 设备。‍

2、拼多多等 718 个 App 被苹果下架‍

昨日有消息称，苹果 App Store 暂时下架包括拼多多、搜狗地图、讯飞阅读和悦跑圈在内共 718 个 app。拼多多回应称，最新发布的 ios 客户端（买家端）存在技术 bug，导致短期下架。

有业内人士称，拼多多等 app 被下架可能是因为触发 App Store 审核指南的 2.5.2 条例，常见的说法是「热更新」，即通过技术使应用上架后，可以无需更新，就修改代码或新增功能。

3、Uber被曝出过数据安全问题，还与黑客“私了”‍

据报道，英国政府网络安全监管机构信息专员办公室(ICO) 当地时间 11 月 27 日表示，优步在遭遇黑客攻击后，没有第一时间告知被泄露的用户有关细节，反而支付黑客 10 万美元让其销毁被盗信息，这一做法是对用户和优步司机信息安全性的漠视。‍

4、谷歌应用商店 8 款 App 涉广告欺诈，盗走数百万美元收益‍

11 月 27 日晚间消息，国外媒体报道，应用程序分析公司 Kochava 日前表示，有 8 款非常受欢迎的android应用存在广告欺诈行为，可能窃走了数百万美元的广告收益。Kochava 称，这 8 款应用在谷歌 Google Play 应用商店的总下载量超过 20 亿次。而且，其中的7款应用来自同一家公司，即中国的猎豹移动。‍

5、Wi-Fi 万能钥匙要发射 272 颗卫星实现全球免费上网‍

6、广电网将参与 5G 建设，资质与牌照正在申请‍

7、vivo 业内首次公开展示 5G 手机，已可使用微信等 App‍

8、亚马逊的医疗新项目：挖掘病人电子病历数据‍

9、爱立信：2024 年 5G 订户将达 15 亿 覆盖全球 40% 人口‍

参考：CSDN、开源中国

IT之家、solidot等

近期热点回顾：

11.27：

11.26：

11.25：

11.24：

11.23：

11.22：

11.21：

小贴士

返回上一级搜索“Java 女程序员 大数据 运维 算法 安卓开发 黑客 Python JavaScript 考研 人工智能 英语 女朋友 mysql 书籍 等关键词获取相关文章推荐。