月下载量千万的 npm 包被黑客篡改，Vue 开发者可能正在遭受攻击

event-stream 被注入恶意代码，黑客扫描整个 node_modules 窃取用户的数字货币。

alsotang 1楼•5 年前

这。。。。。。。数字货币在这种场景下真的很脆弱

zy445566 2楼•5 年前

吓死人了，赶紧把自己的0.00000001个BTC藏好。该死，差点忘记我的私钥不是已经丢了很久了。。。

hewentaowx 3楼•5 年前

比特币不是跌了很惨么还有人在搞。。。

zy445566 4楼•5 年前

@hewentaowx 还在搞啊。我就在不断定投BTC，且认为这次下跌是一个巨大机会，这段时间定投金额基本都是前几个月的几倍

hewentaowx 5楼•5 年前

@zy445566 类似于股市抄底么哈哈我也不懂btc也没钱玩祝好运呀

zy445566 6楼•5 年前

@hewentaowx 目前BTC3800刀，就当立个flag。

justjavac 7楼•5 年前作者

这应该是一次定向投毒事件，攻击者是为了给 copay 投毒。9 月份攻击者开始给 event-stream 3.x 投毒，copay 的所有版本全部中招，之后攻击者移除了投毒代码并发布了 4.x 版本。在事发之前 copay 一直使用的 3.x。vue-cli 也受到了影响是因为使用了中毒的 ps-tree，因此无辜躺枪了。除此之外中毒的 pkg 还有 nodemon、npm-run-all

soluty 8楼•5 年前

检查了一下vue的项目，好像已经解决了

vanishcode 9楼•5 年前

@zy445566 嘿嘿，意见一致

meiwhu 10楼•5 年前

难道这就是开源的代价？😂

zy445566 11楼•5 年前

@vanishcode 嗯，BTC已经存在大量丢失且丢失还会持续扩大。

zy445566 12楼•3 年前

@hewentaowx 现在翻10倍了，感谢你的祝好，我出了

zy445566 13楼•3 年前

@vanishcode 嗯，坚持就是胜利。BTC这个东西就是这样，无论你什么时候买，未来都有一个时间会超过原来的价格，通缩模型货币的必然趋势。