geeeger
commented
3 years ago https://github.com/geeeger/node-modules-which-is-modified
检测包脚本,只检测到深度为1
Open geeeger opened 3 years ago
geeeger
commented
3 years ago https://github.com/geeeger/node-modules-which-is-modified
检测包脚本,只检测到深度为1
近期同事问了个奇怪的问题,为啥他这个项目 npm install失败。 看了亿下报错信息,npm去奇怪的源站下载包去了。
于是我当即就下了结论:
同事反馈,没有奇怪的改动
于是我当即就下了结论:
我去把项目拉下来看了亿下,又问了相关安全从业者有没有什么工作经验。 “没有”
但是我突然发现package-lock 中包的resolved指向了奇怪的地址。
通过淘宝源安装自己的包,发现被分流到了其他cdn上。
得出结论:几个月前淘宝npm可能出现了安全问题。
写了一个工具,去npm官方网站上拉取接口,对比本地包pacakge.json里的shasum是否一致,发现均一致,没有被投中,就放弃了后续的探索。