今天上午，小编在Twitter上刷出了这条推文，再翻看国内一些论坛，开发者已经有所讨论，小编在这里给大家整理一下。

这篇推文及其附带的GitHub链接大体是说上周npm下载量超过200万的package被注入了恶意代码，黑客利用该恶意代码访问热门JavaScript库，目标是copay（开源比特币钱包）及其衍生产品的用户，以此窃取用户的数字货币。

这个被注入恶意代码的package名为event-stream，它是一个用于处理Node.js流数据的JavaScript 软件包，而且Angular、Vue、Bootstrap、Gatsby等都在使用event-stream，所以使用这些库的开发者都应该检查一下自己是否受到了影响。

如果你使用加密货币相关的库，并且运行npm ls event-stream flatmap-stream，出现flatmap-stream@0.1.1，如下所示：

$ npm ls event-stream flatmap-stream
...
flatmap-stream@0.1.1
...

则代表你的项目很可能受到了影响。

这个事件的起因是event-stream项目的作者由于时间和精力有限，将其维护工作交给了另一位开发者Right9ctrl，该开发者获得了event-stream的控制权，将恶意代码注入。据报道，该恶意程序在默认情况下处于休眠状态，当BitPay的Copay钱包启动后，就会自动激活，它将会窃取用户钱包内的私钥并发送至copayapi.host:8080。

目前npm已经删除了带有恶意版本的event-stream，如果你想继续使用event-stream，可更新到最新版本的event-stream 4.0.1。

最后，GitHub的评论区都在争论开源项目作者是否应该对类似事件负责，因为它关乎上万开发者和项目的安全，而此事是作者的失职，对此，你怎么看？

GitHub链接

https://github.com/dominictarr/event-stream/issues/116

更多内容可关注前端之巅公众号（ID：frontshow)

活动推荐

12月7日北京ArchSummit全球架构师峰会上，来自美团、百度、阿里、快手的讲师齐聚一堂，共同分享“打造Native体验Hybrid App实践”、“定制统一可维护的前端架构”、“10年双十一前端关键技术”和“同构Web App的另一种探索”等前端经验与实践。

详情请戳：
https://bj2018.archsummit.com/schedule?utm_source=wechat&utm_campaign=10&utm_medium=frontshow&utm_content=banner

创作场景

周下载量过 200 万的 npm 包被注入恶意代码，Vue、Node 项目恐受影响