虽然你这么说，但我也一脸懵逼啊！开源JS库遭遇供应链攻击

有用户在event-stream JS库内发现恶意代码

近日一个开源JS库event-stream的repo中有人发布了题为I don’t know what to say.（不知道该说啥好了）的Issue。在Issue中发布者（FallingSnow）提到他发现代码中引用了一些恶意模块。

上周便是有人发现了这段代码，但这段代码经过混淆无法判断其实际功能，最近两天才被安全人员判明真身：利用引用的外部恶意依赖库，它可以窃取用户Copay加密货币钱包中的密币。

目前已经确定引用的恶意依赖库为flatmap-stream，目前这个恶意模块也已经被作者删除，但还有个问题是：黑客是怎么进行这次供应链攻击的呢？

想着很难，做着很简单

得益于开源的优势，很容易就能看到Github用户@right9ctrl提交了这段恶意代码。然而引用的flatmap-stream库之前从未在npm中被下载过，结合他在event-stream中的一系列骚操作，可以知道这并非是操作失误，而是精心策划的一次攻击行为。

但黑客又是怎么获得这个JS库的权限呢？其实很简单，只要给当前维护者发个邮件就行了……

之前的维护者也在Issue下回复，说他收到了邮件说有人想接管这个库，就把它拱手送人了，目前他也没有这个库的发布权限。

影响巨大

这个库下载量非常高，仅仅一周就有几百万次的下载，且恶意代码已经存在了接近三个月。在此事件曝出后，用户应及时查看自己的项目是否会受到影响，并及时更新相关依赖。

可利用如下代码判断当前依赖版本：

npm ls event-stream flatmap-stream

事件后续

之前的维护者表明自己并不会为此次事件负责，并质问其他开发人员如果他们对这种事很在意怎么自己不上却当键盘侠。

后续也有开发人员回复，有人认为他仍要为这种公开的内容负责，也有人认为虽然他对此次事件不负责任，但仍应妥善处理权限并遵循相关开发规范。

参考链接

https://github.com/dominictarr/event-stream/issues/116