[[250760]]

這個可以加載惡意程序的JavaScrip庫叫做Event-Stream，非常受開發(fā)者歡迎，在npm.org存儲庫上每周下載量超過200萬。但在三個月前，由于缺乏時間和興趣原作者將開發(fā)和維護工作交給另一位程序員Right9ctrl。Event-Stream，是一個用于處理Node.js流數(shù)據(jù)的JavaScript npm包。

根據(jù)Twitter、GitHub和Hacker News上用戶反饋，該惡意程序在默認情況下處于休眠狀態(tài)，不過當Copay啟動（由比特幣支付平臺BitPay開發(fā)的桌面端和移動端錢包應用）之后就會自動激活。它將會竊取包括私鑰在內的用戶錢包信息，并將其發(fā)送至copayapi.host的8080端口上。

目前已經確認9月至11月期間，所有版本的Copay錢包都被認為已被感染。今天早些時候，BitPay團隊發(fā)布了Copay v5.2.2，已經刪除Event-Stream和Flatmap-Stream依賴項。惡意的Event-Stream v3.3.6也已從npm.org中刪除，但Event-Stream庫仍然可用。這是因為Right9ctrl試圖刪除他的惡意代碼，發(fā)布了不包含任何惡意代碼的后續(xù)版本的Event-Stream。

建議使用這兩個庫的項目維護人員將其依賴樹更新為可用的***版本--Event-Stream版本4.0.1。此鏈接包含所有3,900+ JavaScript npm軟件包的列表，其中Event-Stream作為直接或間接依賴項加載。