[[250760]]

這個(gè)可以加載惡意程序的JavaScrip庫叫做Event-Stream，非常受開發(fā)者歡迎，在npm.org存儲(chǔ)庫上每周下載量超過200萬。但在三個(gè)月前，由于缺乏時(shí)間和興趣原作者將開發(fā)和維護(hù)工作交給另一位程序員Right9ctrl。Event-Stream，是一個(gè)用于處理Node.js流數(shù)據(jù)的JavaScript npm包。

根據(jù)Twitter、GitHub和Hacker News上用戶反饋，該惡意程序在默認(rèn)情況下處于休眠狀態(tài)，不過當(dāng)Copay啟動(dòng)（由比特幣支付平臺(tái)BitPay開發(fā)的桌面端和移動(dòng)端錢包應(yīng)用）之后就會(huì)自動(dòng)激活。它將會(huì)竊取包括私鑰在內(nèi)的用戶錢包信息，并將其發(fā)送至copayapi.host的8080端口上。

目前已經(jīng)確認(rèn)9月至11月期間，所有版本的Copay錢包都被認(rèn)為已被感染。今天早些時(shí)候，BitPay團(tuán)隊(duì)發(fā)布了Copay v5.2.2，已經(jīng)刪除Event-Stream和Flatmap-Stream依賴項(xiàng)。惡意的Event-Stream v3.3.6也已從npm.org中刪除，但Event-Stream庫仍然可用。這是因?yàn)镽ight9ctrl試圖刪除他的惡意代碼，發(fā)布了不包含任何惡意代碼的后續(xù)版本的Event-Stream。

建議使用這兩個(gè)庫的項(xiàng)目維護(hù)人員將其依賴樹更新為可用的***版本--Event-Stream版本4.0.1。此鏈接包含所有3,900+ JavaScript npm軟件包的列表，其中Event-Stream作為直接或間接依賴項(xiàng)加載。