前两天比特币暴跌的消息让投资者们无不捶胸顿足，但屋漏偏逢连夜雨，最近国外又有网友曝光，event-stream库存在恶意代码，其主要目的就是窃取用户数字钱包里包括比特币在内的数字货币。

事件被证实后，尽管npm官网已对其进行下架处理，但由于实际生产应用中，event-stream库属于一个跨平台的应用，其影响会比较广泛，所以360-CERT建议相关用户，特别是互联网相关的企业，应该针对自身IDC线上环境、办公网环境进行安全评估。

此外，如果你是 vue 开发者，请务必检查一下自己的项目；如果不是，也不能掉以轻心，因为很多流行模块比如 nodemon、npm-run-all、ps-tree 也都受到了影响。

回顾事件始末：

2018年11月21日，一位名为 FallingSnow的用户在github Issuse上对知名JavaScript应用库event-stream进行了质疑。原因是event-stream 包突然多出了一个名为 flatmap-stream 的依赖项，而这个依赖项却包含有窃取用户数字钱包的恶意代码。

从该Issuse中得知，大约三个月前，由于缺乏时间和兴趣，event-stream原作者dominictarr将其开发交给另一位名为@Right9ctrl的程序员。但Right9ctrl却在接管了此模块后，发布了包含新依赖关系的Event-Stream 3.3.6 -Flatmap-Stream0.1.1。 其中，Flatmap-Stream v0.1.1 正是是包含恶意代码的npm package。

据分析，该package中的恶意代码主要会窃取用户的钱包信息和私钥，并将其发送到copayapi.host的8080端口上。

影响范围

Event-Stream 3.3.6版本

event-stream是一个非常受欢迎的JavaScript库，在npm.org存储库上每周下载量超过200万。所以，这一恶意依赖在2.5个月内都未被发现，其所造成的恶意影响可想而知，9月1日至今已被下载2225w次。

npm 已经将恶意的Flatmap-Stream进行下架处理，已经无法从npm中再进行相关的安装，以减小影响。

但已经安装的Event-Stream请及时处理，很有可能已经在遭受影响。

此次事件的影响范围大，危害等级高。建议广大用户及时根据修复建议进行修复和自查。

Copay官方作出确认5.0.2-5.1.0的Copay和Bitpay受影响。

在实际的代码分析中发现，受影响的第二个关键还在于npm项目的description字段是否为A Secure Bitcoin Wallet。

而目前只在bitpay/copay项目发现满足该条件。

修复建议

可以通过如下方式对自己所使用的event-stream进行检测

$ npm ls event-stream flatmap-stream

...

flatmap-stream@0.1.1

...

可以对event-stream进行降级版本到3.3.4以缓解此事件带来的影响

降级方式如下

npminstallevent-stream@3.3.4

再通过上述命令可以检查是否降级成功

360CERT将在CERT官网随后给出受影响package的相关统计，敬请期待。

 代码分析

根据flatmap-stream/package.json导出的main

"main": "index.min.js",

在这其中有一段index.js所没有的额外代码

process["env"]["npm_package_description"];的获取测试