NodeJS paketi üzerinde yaşanan ilginç bir hırsızlık hikayesi
NPM kütüphanesinin yayımcısı ilgilenemediği için kütüphane yönetimini tanımadığı birine devrediyor. Sonrasında yönetimi devralan kişi kütüphaneye wallet dosyalarını çalacak kod entegre etmiş. Haftalık 2 milyon indirme sayısı olan bu paket, milyonlara ulaşıyor. Yani, girdiğiniz web sitesi bitcoinlerinizi çalabiliyor ama aslında çalan web sitesi de değil, yıllardır kullandığı başka bir kaynak. Kütüphanenin yapımcısı da tanımadığı birine devretmesinin kendi suçu olmadığını savunuyor.
Açıktan etkilenen Visual Studio Code eklentilerinin listesi:
https://code.visualstudio.com/blogs/2018/11/26/event-stream
İlgili Github adresi:
https://github.com/dominictarr/event-stream/issues/116
Paketin adresi:
https://www.npmjs.com/package/event-stream/v/0.8.2