吃瓜群众带你了解NMP包事件

根据开发者justjavac放出的消息，event-stream被植入比特币后门事件并被圈内刷屏。

此事件的起因是 event-stream 项目的作者比特币的来龙去脉，由于时间和精力有限，将其维护交给了另一个开发者 Right9ctrl，该开发者获得了 event-stream 的控制权并在其中注入了恶意代码。 该恶意程序默认处于休眠状态，在BitPay的Copay钱包启动时自动激活，窃取用户钱包中的私钥并发送给copayapi.host:8080。

event-stream 包是 Node.js 流数据的 JavaScript 包，每周下载量超过 200 万次，到目前为止下载量约为 800 万次，持续时间 2.@ >5 个月。此外，Angular、Vue、Bootstrap、Gatsby 等都使用事件流，因此使用这些库的开发人员应检查是否受到影响。

目前npm已经移除了event-stream的恶意版本，如果你想继续使用event-stream，可以更新到最新版本的event-stream 4.0.1。

如果你想看看你的项目是否受到影响，你可以运行：

$ npm ls event-stream flatmap-stream
...
flatmap-stream@0.1.1
...

复制

如果您在输出中包含 flatmap-stream，那么您也可能会受到攻击。

如果你使用纱线，你可以运行：

$ yarn why flatmap - stream

复制

另外，今天vue作者游禹锡（微博@尤小友）在微博上回应：

关于npm event-stream包的安全问题，Vue CLI的依赖只在任务用UI终止时才存在，不影响通过纯CLI创建的项目的使用。为了彻底消除问题，建议重新安装全局的@vue/cli。

最后，GitHub的评论区正在讨论是否应该追究开源项目作者是否应该为类似事件负责，因为它关系到数以万计的开发者和项目的安全比特币的来龙去脉，这是作者的疏忽。您对此有何看法？

GitHub 链接