npm 后门仓库被发现

2018-11-27 12:06:12 +08:00
 des

大家自己看看有没中招吧

相关讨论 https://github.com/dominictarr/event-stream/issues/116

9403 次点击
所在节点    Node.js
28 条回复
des
2018-11-27 12:14:33 +08:00
这么严重的事情没人关心?
duan602728596
2018-11-27 12:17:12 +08:00
目前的项目还没用到 event-stream 这个包
des
2018-11-27 12:21:06 +08:00
@duan602728596
不是你没直接用到就没影响了,你可以去看看下载量。好多大型仓库都引用了,比如 nodemon
des
2018-11-27 12:22:25 +08:00
@des 说错,应该是好多有名的仓库都应用了
quinoa42
2018-11-27 12:43:55 +08:00
排查了下,自己写的几个小 project 都没依赖到,还好
Kirscheis
2018-11-27 12:48:28 +08:00
当年 leftpad 的事情之后竟然还有人相信这个奇妙的包管理方法。。翻车多少次也不奇怪
yuanfnadi
2018-11-27 13:01:35 +08:00
@duan602728596 vuecli nodemon
hujianxin
2018-11-27 13:03:56 +08:00
吃瓜
shuang
2018-11-27 13:10:03 +08:00
搜了下,用到了
rabbbit
2018-11-27 13:12:08 +08:00
这算中招了?
des
2018-11-27 13:14:19 +08:00
@rabbbit
是的,看见下面那个 flatmap-stream 了没,就是这货
hahastudio
2018-11-27 13:18:15 +08:00
eslint-scope 那件事之后,好像 npm 也没做什么
ecnelises
2018-11-27 13:24:05 +08:00
npm 已经算做得好的了,有人力财力搞自动扫描什么的,社区反应也比较快。只不过是出了问题影响的面大,所以关注的人比较多。想想其他语言社区像 PyPI、RubyGems 什么的(不过它们好像也不会一个项目依赖成百上千个包)
lovedebug
2018-11-27 13:24:38 +08:00
哎,Node 的生态问题,大公司贡献的优质库太少了
ChristopherWu
2018-11-27 13:35:12 +08:00
好像已经是 6 天前的新闻了-_- , 好像关注度不高啊,我也是中午刷朋友圈,看到 javac 的文章才知道。

不过,在你说的那个时候,我也在前端娱乐圈里加上了此新闻: http://qianduanyule.club/
123s
2018-11-27 13:39:59 +08:00
如果是偷数字货币,我觉得 80%的人可以安全躲过。但是 npm 的问题,怕是堵不完。
maichael
2018-11-27 13:42:07 +08:00
npm-run-all 也依赖了。今天才刚把这个东东清理掉了。
cstj0505
2018-11-27 13:45:37 +08:00
lz,为啥进了你的帖子背景变黑色了,其它还是正常的。
KDE+FF
dong3580
2018-11-27 13:47:53 +08:00
@cstj0505 节点主题色
liubo618
2018-11-27 13:48:30 +08:00
@rabbbit 兄弟 我打开怎么发现没有呀![]( https://api.superbed.cn/pic/5bfcda09c4ff9e05833a0c7f)

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/511914

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX