এনপিএম ইআরআর! 404 পাওয়া যায় নি: ইভেন্ট-stream@3.3.6

86

আমি আমার প্রকল্প স্থাপন করার চেষ্টা করছি এবং হঠাৎ এই ত্রুটিটি পাচ্ছি।

এনপিএম ইআরআর! 404 পাওয়া যায় নি: ইভেন্ট-stream@3.3.6

node.js  npm 
ম্যাট
সূত্র
4
এনপিএম এই প্যাকেজটিকে অবমূল্যায়ন করেছে। পরীক্ষা github.com/webpack/webpack-cli/issues/698
প্রয়াগ সি প্যাটেলের
4
এই প্রশ্নটি মেটাতে
রোমান
কেবল প্যাকেজ-লক.জসন ফাইল মুছে ফেলা এবং তারপরে এনপিএম ইনস্টলটি দুর্দান্ত কাজ করে।
জিতেন্দ্র পাওয়ার

উত্তর:

192

tldr;

পবিত্র গরু! দেখা যাচ্ছে যে ইভেন্ট-স্ট্রিম প্যাকেজের একটি দুর্বলতা ছিল যা হ্যাকারকে বিটকয়েন চুরি করতে দেয়।

এটি ঠিক করার জন্য আপনাকে আপনার event-streamপ্যাকেজ আপডেট করতে হবে ।

  1. node_modulesফোল্ডারটি মুছুন ।
  2. package-lock.jsonফাইলটি মুছুন ।
  3. চালান npm install

এটির সাহায্যে আপনার প্যাকেজগুলি নিরাপদ সংস্করণে আপডেট করা উচিত এবং আপনার ভাল হওয়া উচিত।

এবং এখানে এনপিএম ব্লগের সরকারী প্রতিক্রিয়া:

ইভেন্ট-স্ট্রিম ঘটনার বিবরণ এটি ইভেন্ট-স্ট্রিম ঘটনার একটি বিশ্লেষণ যা আপনারা অনেকে এই সপ্তাহের শুরুতে সচেতন হয়েছিলেন। এনপিএম অপারেশনাল উদ্বেগ এবং আমাদের সম্প্রদায়ের সুরক্ষাকে প্রভাবিত করে এমন সমস্যাগুলি সমাধানের জন্য অবিলম্বে কাজ করে, তবে আমরা সাধারণত ঘটনাগুলি নিয়ে আলোচনা করার আগে আরও বিশদ বিশ্লেষণ করি — আমরা জানি আপনি অপেক্ষা করেছিলেন।

২ November শে নভেম্বর সকালে এনএমপি'র সুরক্ষা দলটিকে একটি দূষিত প্যাকেজ সম্পর্কে অবহিত করা হয়েছিল যা একটি জনপ্রিয় এনএমপি প্যাকেজ ইভেন্ট-স্ট্রিমে প্রবেশ করেছে। ম্যালওয়্যারটি ট্রাইজ করার পরে, এনপিএম সুরক্ষা রেজিস্ট্রি থেকে ফ্ল্যাটম্যাপ-স্ট্রিম এবং ইভেন্ট-stream@3.3.6 মুছে ফেলা এবং আরও অপব্যবহার রোধের জন্য ইভেন্ট-স্ট্রিম প্যাকেজের মালিকানা গ্রহণের মাধ্যমে প্রতিক্রিয়া জানাল।

দূষিত প্যাকেজটি ফ্ল্যাটম্যাপ-প্রবাহের 0.1.1 সংস্করণ ছিল। এই প্যাকেজটি ৩.৩..6 সংস্করণে 9 ই সেপ্টেম্বর, 2018 এ নতুন রক্ষণাবেক্ষণকারী দ্বারা ইভেন্ট-স্ট্রিম প্যাকেজের প্রত্যক্ষ নির্ভরতা হিসাবে যুক্ত করা হয়েছিল। ইভেন্ট-স্ট্রিম প্যাকেজটি ব্যাপকভাবে ব্যবহৃত হয়, তবে কোনও সংস্থার দূষিত কোড টার্গেট বিকাশকারীদের খুব সুনির্দিষ্ট বিকাশের পরিবেশ সেটআপ ছিল: অন্য কোনও পরিবেশে পে-লোড চালনার কোনও প্রভাব নেই। এই নির্দিষ্ট টার্গেটিংয়ের অর্থ এই যে, শেষ পর্যন্ত বেশিরভাগ বিকাশকারীরা ভুলভাবে দূষিত মডিউলটি ইনস্টল করে থাকলেও তারা প্রভাবিত হবে না।

ইনজেকশন কোডটি কোপে অ্যাপ্লিকেশনটিকে লক্ষ্য করে। যখন কোপে একটি বিকাশকারী তাদের রিলিজ বিল্ড স্ক্রিপ্টগুলির মধ্যে একটি চালায়, ফলস্বরূপ কোডটি অ্যাপ্লিকেশনটিতে বান্ডিল হওয়ার আগে পরিবর্তন করা হয়। কোডটি 100 টিরও বেশি বিটকয়েন বা 1000 বিটকয়েন নগদ নগদ থাকা অ্যাকাউন্টগুলি থেকে অ্যাকাউন্টের বিশদ এবং ব্যক্তিগত কী সংগ্রহের জন্য ডিজাইন করা হয়েছিল।

কোপের প্রাথমিক প্রতিক্রিয়া ছিল যে এই দূষিত কোড সহ কোনও বিল্ডগুলি জনসাধারণের জন্য প্রকাশ করা হয়নি, তবে আমাদের এখন কোপাইয়ের কাছ থেকে নিশ্চিত হয়ে গেছে যে "দূষিত কোডটি 5.0.2 থেকে 5.1.0 সংস্করণে স্থাপন করা হয়েছিল।"

আক্রমণ এই আক্রমণটি একটি সামাজিক প্রকৌশল আক্রমণ হিসাবে শুরু হয়েছিল। আক্রমণকারী, একজন রক্ষণাবেক্ষণকারী হিসাবে উপস্থিত হয়ে ইভেন্ট-স্ট্রিম মডিউলটির রক্ষণাবেক্ষণের দায়িত্ব গ্রহণ করেছিলেন।

প্রযুক্তিগত বিবরণগুলি এখানে কিছু প্রযুক্তিগত বিবরণ যা আমরা আপনার সম্পর্কে আগ্রহী তাদের জন্য জানি।

ইনজেকশন কোড:

টেস্ট ফিক্সচার হিসাবে ছদ্মবেশযুক্ত কোনও ফাইল থেকে এএস এনক্রিপ্ট করা ডেটা পড়ুন মডিউলটি এনএমপি প্যাকেজ বিবরণটি আমদানি করে যা স্বয়ংক্রিয়ভাবে সেট এনভায়রনমেন্ট ভেরিয়েবল ব্যবহার করে ছদ্মবেশী ফাইল থেকে টেনে নেওয়া তথ্যগুলির একটি অংশ ডিক্রিপ্ট করার জন্য প্যাকেজ বিবরণ ব্যবহার করে ডিক্রিপ্ট করা ডেটা একটি মডিউলের অংশ ছিল, যা পরে স্মৃতিতে সংকলিত হয় এবং কার্যকর করা হয়।

এই মডিউলটি নিম্নলিখিত ক্রিয়া সম্পাদন করেছে:

ছদ্মবেশী ফাইল থেকে ডেটা অন্য অংশ ডিক্রিপ্ট করা একটি ছোট, মন্তব্যযুক্ত উপসর্গ প্রথম ডিক্রিপটেড অংশ থেকে দ্বিতীয় ডিক্রিপটেড অংশ থেকে শেষ অবধি সংক্ষিপ্ত ডিকোডিংয়ের কাজকে অবৈধ জেএস থেকে বৈধ জেএসে রূপান্তরিত করার জন্য ক্ষুদ্র ডিকোডিং কার্য সম্পাদন করেছে (আমরা বিশ্বাস করি এটি ছিল গতিশীল বিশ্লেষণ সরঞ্জাম দ্বারা সনাক্তকরণ এড়ানোর জন্য করা হয়েছে) জেএস-এর এই প্রসেসড ব্লকটি নির্ভরতাতে বিল্ড স্ক্রিপ্টগুলির মাধ্যমে প্যাকেজ করা হবে এমন কোনও ফাইলের কাছে লিখে রেখেছিলেন: যে কোডটি লেখা হয়েছিল তা হ'ল প্রকৃত দূষিত কোড, চালানোর উদ্দেশ্যে কোপে শেষ ব্যবহারকারীদের মালিকানাধীন ডিভাইসগুলিতে।

এই কোডটি নিম্নলিখিতটি করবে:

বর্তমান পরিবেশটি সনাক্ত করুন: মোবাইল / কর্ডোভা / ইলেক্ট্রন ভিকটিমের কপির অ্যাকাউন্টে বিটকয়েন এবং বিটকয়েন নগদ ব্যালেন্স পরীক্ষা করে দেখুন যদি বর্তমান ব্যালেন্সটি 100 বিটকয়েন বা 1000 বিটকয়েন নগদ বেশি হয় তবে ক্ষতিগ্রস্থ ব্যক্তির অ্যাকাউন্ট ডেটা পুরো ফসল কাটাতে ক্ষতিগ্রস্থ ব্যক্তির অনুলিপি ব্যক্তিগত কীগুলি সংগ্রহ করুন 111.90.151.134 এ চলমান সংগ্রহ পরিষেবাটিতে ভুক্তভোগীর অ্যাকাউন্ট ডেটা / ব্যক্তিগত কীগুলি প্রেরণ করুন। কোপে অ্যাপ্লিকেশন ব্যবহারকারীদের জন্য, বিটপাই সুপারিশ করেছে, "আপনি যদি 5.0.2 থেকে 5.1.0 অবধি কোনও সংস্করণ ব্যবহার করেন তবে আপনার কোপে অ্যাপ্লিকেশন চালানো বা খোলার উচিত নয়” "

এনপিএম ব্যবহারকারীদের জন্য, আপনি এনপিএম অডিট চালিয়ে আপনার প্রকল্পে দুর্বল নির্ভরতা রয়েছে কিনা তা পরীক্ষা করতে পারেন। আপনি যদি এই ইভেন্ট-স্ট্রিমের প্রভাবিত সংস্করণটি ইনস্টল করেন তবে আমরা আপনাকে সুপারিশ করব যত তাড়াতাড়ি সম্ভব পরবর্তী সংস্করণে আপডেট করুন।

ম্যাট
সূত্র
7
বা কেবল npm list event-streamকোনও শীর্ষ স্তরের প্যাকেজগুলি করুন এবং আপডেট করুন
ফিল
4
প্যাকেজ-লকটি মোছা খারাপ ধারণা বলে মনে হচ্ছে। দয়া করে লিঙ্কটি এনপিএম ব্লগ পোস্টে ভাগ করুন।
বেন আফ্লেক
কি দারুন. আপনার উদ্ধৃত নিবন্ধটির কোনও লিঙ্ক আছে? সম্পাদনা - এটি পাওয়া গেছে: blog.npmjs.org/post/180565383195/…
friederbluemle
7

আসলে আমাদের সমস্ত প্যাকেজ আপডেট করার দরকার নেই যা ইভেন্ট-stream@3.3.6 এর উপর নির্ভর করে।

আপনি খুলতে পারবেন package-lock.json, সমস্ত ইভেন্ট-স্ট্রিমের রেফারেন্সগুলি সরিয়ে npm installআবার কল করতে পারেন। এটি আরও দ্রুত হবে।

এর পরে, npm shrinkwrap && mv npm-shrinwrap.json package-lock.jsonকেবল ইভেন্ট-স্ট্রিম রেফারেন্সগুলি আপডেট করা উচিত পুরো ফাইলটি নয়

ম্যাথিউস টিক্সির
সূত্র
4

নীচের পদ্ধতি অনুসরণ করুন:

  1. নোড_মডিউলগুলি এবং প্যাকেজ_লক.জসন ফাইলগুলি মুছুন

  2. এনপিএম তালিকা ইভেন্ট-স্ট্রিম চালান

  3. এনএমপি অডিট চালান
  4. এনটিএম ক্যাশে যাচাই করুন
  5. এনটিএম ইনস্টল চালান
  6. গিট অ্যাড চালান (প্রয়োজনীয় ফাইল যুক্ত করুন)
  7. গিট কমিট চালান (আপনার পরিবর্তনগুলি প্রতিশ্রুতিবদ্ধ)
  8. গিট পুশ চালান (আপনার কোডটি চাপুন)
বাসভরাজ হাদিমানি
সূত্র
3

আমি নিম্নলিখিত পদক্ষেপগুলি দ্বারা এই সমস্যাটি সমাধান করি:

  1. /node_cache/_logs/xxxx-xx-xxx-debug.log এ এই ত্রুটির জন্য আপনার সর্বশেষতম লগটি খুলুন
  2. event-streamপাতার মূল আবিষ্কার করুন , উদাহরণস্বরূপ:


    45 silly saveTree +-- nodemon@1.18.4
    45 silly saveTree | +-- chokidar@2.0.4
    45 silly saveTree | +-- pstree.remy@1.1.0
    45 silly saveTree | | `-- ps-tree@1.2.0
    45 silly saveTree | |   `-- event-stream@3.3.6
    45 silly saveTree | |     +-- duplexer@0.1.1
    45 silly saveTree | |     +-- from@0.1.7
    45 silly saveTree | |     +-- pause-stream@0.0.11
    45 silly saveTree | |     `-- split@0.3.3
  1. এই ক্ষেত্রে, মূলটি নোডমন হয়, সুতরাং আপনি এটি দ্বারা ঠিক করতে পারেন: npm ইনস্টল nodemon@1.18.4
  2. এনপিএম এখন সফলভাবে ইনস্টল করুন
সুসি চ্যাং
সূত্র
3

মন্তব্যে উল্লিখিত হিসাবে, অন্তর্নিহিত সমস্যাটি হ'ল package-lock.json(লকফাইলে) একটি অবহেলিত প্যাকেজ রয়েছে। লকফিলটি মোছা এবং নির্ভরতাগুলি পুনরায় ইনস্টল করা সমস্যার সমাধান করেছে।

এটি করার দ্রুততম উপায় হ'ল এই 2 টি পদক্ষেপ:

  • package-lock.jsonফাইলটি মুছুন
  • নির্ভরতা পুনরায় ইনস্টল করতে npm i(বা npm install) টাইপ করুন
হুসেন
সূত্র
2

আমি প্যাকেজ.জসনে 4.1.3 থেকে 4.1.5 থেকে এনপিএম-চালিত সমস্ত আপডেট করেছি (লক ফাইল ইভেন্ট প্রবাহে সরিয়ে দিন) তারপরে এনপিএম ইনস্টল করুন।

ইভিলিপার
সূত্র
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.