今天上午,小編在Twitter上刷出了這條推文,再翻看國內一些論壇,開發者已經有所討論,小編在這裏給大家整理一下。
這篇推文及其附帶的GitHub鏈接大體是說上週npm下載量超過200萬的package被注入了惡意代碼,黑客利用該惡意代碼訪問熱門JavaScript庫,目標是copay(開源比特幣錢包)及其衍生產品的用戶,以此竊取用戶的數字貨幣。
這個被注入惡意代碼的package名爲event-stream,它是一個用於處理Node.js流數據的JavaScript 軟件包,而且Angular、Vue、Bootstrap、Gatsby等都在使用event-stream,所以使用這些庫的開發者都應該檢查一下自己是否受到了影響。
如果你使用加密貨幣相關的庫,並且運行npm ls event-stream flatmap-stream,出現[email protected],如下所示:
$ npm ls event-stream flatmap-stream
...
[email protected]
...
則代表你的項目很可能受到了影響。
這個事件的起因是event-stream項目的作者由於時間和精力有限,將其維護工作交給了另一位開發者Right9ctrl,該開發者獲得了event-stream的控制權,將惡意代碼注入。據報道,該惡意程序在默認情況下處於休眠狀態,當BitPay的Copay錢包啓動後,就會自動激活,它將會竊取用戶錢包內的私鑰併發送至copayapi.host:8080。
目前npm已經刪除了帶有惡意版本的event-stream,如果你想繼續使用event-stream,可更新到最新版本的event-stream 4.0.1。
最後,GitHub的評論區都在爭論開源項目作者是否應該對類似事件負責,因爲它關乎上萬開發者和項目的安全,而此事是作者的失職,對此,你怎麼看?