“Node.js 包已不值得信任！”

整理 | 郑丽媛

出品 | CSDN（ID：CSDNnews）

近来，频繁发生的 npm 供应链攻击令开发者们精疲力竭：

流行 npm 包 faker.js 和 colors.js 的作者为抵制“开源白嫖”而，导致数千个应用崩溃；

知名 npm 包 node-ipc 的作者以“反战”为名，向；

攻击者针对 Azure 开发者，创建了向 以窃取 PII（个人身份信息）；

代号为“RED-LILI”的黑客发动了大规模 npm 供应链攻击，一口气发布近 800 个恶意 npm 包。

这一系列接连不断的 npm 供应链攻击令许多人开始怀疑：Node.js 包究竟还值得信任吗？对于这个问题，知名开源框架 sharedb/ottypes 作者 Seph Gentle 通过一篇文章给出了他的回答：“Node.js 包已不值得信任。”