我是今天上午朋友說的時候才發現的這個問題，

這篇推文及其附帶的 GitHub 連結大體是說每週 npm 下載量超過 200 萬的 package 被注入了惡意程式碼，黑客利用該惡意程式碼訪問熱門 JavaScript 庫，目標是 copay（開源比特幣錢包）及其衍生產品的使用者，以此竊取使用者的數字貨幣。

這個被注入惡意程式碼的 package 名為event-stream，它是一個用於處理 Node.js 流資料的 JavaScript 軟體包，而且 Angular、Vue、Bootstrap、Gatsby 等都在使用 event-stream，所以使用這些庫的開發者都應該檢查一下自己是否受到了影響。

如果你使用加密貨幣相關的庫，並且執行npm ls event-stream flatmap-stream，出現[email protected]，如下所示：

npm ls event-stream flatmap-stream

如果出現：恭喜你的錢包中獎了

...
[email protected]
...

未中獎：

這個事件的起因是 event-stream 專案的作者由於時間和精力有限，將其維護工作交給了另一位開發者 Right9ctrl，該開發者獲得了 event-stream 的控制權，將惡意程式碼注入。據報道，該惡意程式在預設情況下處於休眠狀態，當 BitPay 的 Copay 錢包啟動後，就會自動啟用，它將會竊取使用者錢包內的私鑰併發送至 copayapi.host:8080。

目前 npm 已經刪除了帶有惡意版本的 event-stream，如果你想繼續使用 event-stream，可更新到最新版本的 event-stream 4.0.1

原文事件：https://github.com/dominictarr/event-stream/issues/116