月下載量千萬的npm包被黑客篡改，Vue開發者麵臨攻擊

11月27日消息 event-stream包是一個流行的npm庫，每周下載量在200萬次以上，但現在發現包含惡意代碼，到目前為止已經有大約800萬次的下載量，持續時間為2.5個月。npm安全性問題爆發了。

npm 是 JavaScript 世界的包管理工具，並且是 Node.js 平台的默認包管理工具。通過 npm 可以安裝、共享、分發代碼，管理項目依賴關係。

據開發者justjavac發布的消息，event-stream 事件已經在圈內刷屏。

event-stream被很多的前端流行框架和庫使用，每月有幾千萬下載量。Vue的官方腳手架 vue-cli 中使用了該依賴，React 則躲過了此次影響。

flatmap-stream 中的惡意代碼會掃描用戶的 nodemodules 目錄，因為所有從 npm 下載的模塊都會放在此目錄。如果發現在 nodemodules 存在特定的模塊，則將惡意代碼注入進去，從而盜取用戶的數字貨幣。

如果想查看自己的項目是否受到影響，可以運行：

$ npm ls event-stream flatmap-stream
...
flatmap-stream@0.1.1
...

如果在輸出裏麵包含了 flatmap-stream 則說明你也可能被攻擊。

如果使用 yarn 則可以運行：

$ yarn why flatmap - stream