faker.js与colors.js开源库遭开发者恶意破坏 波及大量项目
BleepingComputer报道称:近日一位开发者似乎故意破坏了GitHub和软件注册npm上的一对开源库...尽管color.js看似已更新到新版本,但faker.js可能还需再等待一段时间,着急的朋友可尝试降级到先前的5.5.3版本...此外BleepingComputer发现这两个库的开发者向colors.js引入了恶意提交,添加了所谓的Americanflag模块,并推出了可触发同样破坏性事件的6.6.6版faker.js库...更奇怪的是,faker.js的自述文件,也被改成了亚伦·斯沃茨的名字...由于faker.js在npm上的每周下载量接近250万、colors.js亦有约2240万,本次破坏事件还是给开源项目敲响了安全警钟...