事件始末

2018年11月21日，名为 @FallingSnow的用户在知名JavaScript应用库event-stream的Github issuse中发布了针对植入的恶意代码的疑问I don't know what to say，表示event-stream中存在用于窃取用户数字钱包......

起因

需求源于痛苦。很多人可能已经深有体会，搭建环境的时间可能会远大于真正做事时间。我最近在看一些Java的漏洞，但我不是Java开发者，并没有现成的Java环境。而且最近我没有自己的电脑用，需要管理员权限的操作我都不能执行。用着并不熟悉的IDEA，拉下来的代码编译无数遍都没有通过。检查了各种配置......

最近关注到一些Node.js的漏洞，比较感兴趣的一个反序列化导致远程代码执行的漏洞，个人开发Node.js也有不短时间，决定尝试复现分析它并给出一些开发建议，遂有此文。

漏洞复现

我使用 0.0.4 版本的node-serialize进行复现。

首先使用Node.js 自带的 chil......