【導(dǎo)讀】：NPM 成也依賴，坑也依賴！2016 年 3 月，NPM 就炸鍋一次。一個(gè) NPM 模塊的開發(fā)者撤回了自己的代碼，導(dǎo)致諸如React 和 Babel 等大量重要項(xiàng)目出問(wèn)題了。

今天NPM圈又炸鍋了，因?yàn)橐粋€(gè)廣泛使用的依賴庫(kù) event-stream 在被原維護(hù)者Dominic Tarr轉(zhuǎn)讓給right9ctrl之后被植入了竊取比特幣的后門。這意味著使用到該模塊的開發(fā)者們，其設(shè)備或許早在不知情的情況下變成了挖礦設(shè)備了。

我們是怎么一步一步掉坑的？

event-stream 是一個(gè)用于處理 Node.js 流數(shù)據(jù)的 JavaScript npm 包，它使得創(chuàng)建和使用流變得容易，正是因此，它也受到了廣大開發(fā)者的歡迎，目前這個(gè)庫(kù)每周有 200 萬(wàn)的下載量。

數(shù)月前，event-stream庫(kù)的作者者@dominictarr 因?yàn)槿狈r(shí)間和興趣無(wú)法繼續(xù)維護(hù)這個(gè)庫(kù)了，于是就將該庫(kù)轉(zhuǎn)讓給了一個(gè)完全不認(rèn)識(shí)卻又想要維護(hù)的陌生人@right9ctrl ，噩夢(mèng)就此開始了。

@dominictarr：

（@right9ctrl）他發(fā)郵件給我，說(shuō)他想維護(hù)這個(gè)模塊，于是我把模塊所有權(quán)移交給了他。我沒有從這個(gè)模塊得到任何回報(bào)，而且我已經(jīng)好久不使用這個(gè)模塊了，大概有好幾年了吧。

9 月 8 日，新維護(hù)者@right9ctrl 開始了初步動(dòng)作，首先釋出了event-stream3.3.6 版本的更新，并在其中加入了一個(gè)全新的模塊——flatmap-stream，彼時(shí)這個(gè)模塊中并沒有惡意功能。

9 月 16 日，@right9ctrl 重寫了代碼并刪除了對(duì)flatmap-stream 的依賴，之后又推出新版本，這意味著更新不會(huì)自動(dòng)升級(jí)。

10 月 5 日，flatmap-stream 0.0.1 版本被一個(gè)名為“hugeglass”的用戶推送到了 NPM。而這次釋出的更新中該模塊就被加入了竊取比特幣錢包并轉(zhuǎn)移出余額的功能。

因此，自 10 月 5 日以來(lái)，任何通過(guò)event-stream 庫(kù)并使用被植入惡意代碼 flatmap-stream 的開發(fā)者都可能受到惡意腳本的攻擊。而據(jù)統(tǒng)計(jì)，自2018 年 9 月更新以來(lái)，惡意包已下載近 800 萬(wàn)次。且原作者也無(wú)奈地表示，自己也沒有權(quán)限去修改。

event-stream原作者的回應(yīng)

收到其他開發(fā)者的譴責(zé)后，event-stream 原作者Dominic Tarr在 GitHub 上發(fā)表聲明做出了回應(yīng)。

https://gist.github.com/dominictarr/9fd9c1024c94592bc7268d36b8d83b3a

大意如下：

使用者將維護(hù)的負(fù)擔(dān)壓在作者身上，而他開發(fā)這個(gè)庫(kù)不是出于利他動(dòng)機(jī)，是因?yàn)楹猛?。從開發(fā)中學(xué)習(xí)并獲得樂(lè)趣，將維護(hù)交給另一個(gè)人是因?yàn)榉窒硪彩且环N學(xué)習(xí)。

為什么要把這個(gè)軟件包項(xiàng)目交給一個(gè)陌生人？

因?yàn)楫?dāng)它不再有趣，你從維護(hù)中得不到任何東西。一開始他并沒有從 right9ctrl 身上感受到惡意，他以為這是一位真心想幫助他的人。

與其他貢獻(xiàn)者分享 commit access/publish 權(quán)力在 node/npm 社區(qū)是很流行的。

他認(rèn)為有兩種方法解決這個(gè)問(wèn)題：給維護(hù)者錢，或者使用者也應(yīng)該承擔(dān)部分維護(hù)的責(zé)任。

如何知道是否中招了？該怎么辦？

目前對(duì)于開發(fā)者受到此漏洞的影響程度尚未可知，但是當(dāng)前我們的首要任務(wù)還是檢查自己是否使用了相關(guān)的惡意庫(kù)，例如運(yùn)行以下代碼：

$npmlsevent-streamflatmap-stream...flatmap-stream@0.1.1...

如果在輸出里面包含了 flatmap-stream 則說(shuō)明你也可能被攻擊。

倘若確認(rèn)受到了影響，接下來(lái)你首先要做的是從應(yīng)用程序中刪除惡意軟件包，可以通過(guò)恢復(fù)到 event-stream版本 3.3.4 來(lái)執(zhí)行此操作。