npm包管理机制引质疑：又一安装程序中发现恶意代码，开发者账户频遭劫持

铜灵 发自 凹非寺量子位 出品 | 公众号 QbitAInpm行不行，包管理机制行不行？最新的一次npm包被篡改事件，让开发者的这两个疑问更加强烈了。最新中枪的是纯函数式编程语言Purescript，这种可编译为JavaScript，能用于开发Web、服务器端应用程序的语言，其npm安装程序中被植入了恶意代码。发现漏洞的程序员Harry Garrood表示，恶意代码的目的是破坏Purescript npm安装程序，防止它成功运行。距离问题暴露已经过去了一段时间，但对于此事的讨论依旧热烈。今天，一则《Purescript npm安装程序中的恶意代码》的贴子在Hackernews上火速升温，短短几个小时热度超过300。这件事来龙去脉如何，可以带来哪些教训？交接过程出问题npm，全称Node Package Manager，相当于js的“pip”，是一个包管理 ………………………………