可怕！月下载量800万的开源库被植入比特币后门

今天NPM圈子又炸了，因为一个被广泛使用的依赖库event-stream被原维护者Dominic Tarr转给right9ctrl后被植入后门窃取比特币。 这意味着使用该模块的开发者可能在不知情的情况下将自己的设备变成了挖矿设备。

我们是如何一步步掉进坑里的？

event-stream 是一个用于处理 Node.js 流数据的 JavaScript npm 包。 它使创建和使用流变得容易。 正因为如此，它也受到开发者的欢迎。 目前，这个图书馆每周有 200 万用户。 下载。

几个月前，event-stream 库的作者@dominictarr，由于没时间没兴趣维护这个库，于是把这个库转让给了一个素不相识但完全不认识的陌生人@right9ctrl想维护它。 噩梦结束了它已经开始了。

@dominictarr：

(@right9ctrl) 他给我发邮件说他想维护这个模块比特币的应用程序，所以我把模块的所有权交给了他。 我没有从这个 mod 得到任何回报，而且我已经有一段时间没有使用它了，也许是几年。

9月8日，新维护者@right9ctrl开始初步行动，首先发布了event-stream3.3.6版本的更新，并添加了一个全新的模块——flatmap-stream比特币的应用程序，该模块当时没有恶意功能。

9月16日，@right9ctrl重写了代码，去掉了对flatmap-stream的依赖，之后又发布了新版本，也就是说更新不会自动升级。

10 月 5 日，flatmap-stream 0.0.1 版本被一个名为“hugeglass”的用户推送到 NPM。 在本次发布的更新中，该模块增加了盗取比特币钱包并转移余额的功能。

因此，自10月5日起，任何使用flatmap-stream通过event-stream库植入恶意代码的开发者都可能受到恶意脚本攻击。 据统计，自2018年9月更新以来，该恶意包已被下载近800万次。 而原作者也无奈表示自己没有修改的权限。

event-stream原作者的回应

在收到其他开发者的谴责后，事件流作者 Dominic Tarr 在 GitHub 上发表声明回应。

总体思路如下：

用户将维护的负担推给了作者，作者开发这个库不是出于利他的动机，而是为了好玩。 从开发中学习并获得乐趣，将维护留给另一个人，因为共享也是学习。

为什么要把这个包项目交给一个陌生人？

因为当它不再有趣时，你不会从维护中得到任何东西。 一开始他并没有觉得right9ctrl有什么恶意，他还以为是有人真心想帮助他。

与其他贡献者共享提交访问/发布权力在 node/npm 社区中很流行。

他认为解决这个问题有两种方法：给维护者钱，或者用户也应该承担一部分维护责任。

你怎么知道你是否被击中了？ 我应该怎么办？

开发者受此漏洞影响的程度目前未知，但我们当前的首要任务是检查是否使用了相关的恶意库，例如运行以下代码：

$ npm ls event-stream flatmap-stream
...
flatmap-stream@0.1.1
...

如果输出中包含 flatmap-stream，您也可能会受到攻击。

一旦确认受到影响，接下来要做的第一件事就是从应用程序中删除恶意包，这可以通过恢复到事件流版本 3.3.4 来完成。