无法预防这种情况，唯一频繁发生此类事件的包管理器如此表示

# “无法阻止这一点，”唯一一个此类事件频发的包管理器如是说 来源：<https://kevinpatel.xyz/posts/no-way-to-prevent-this/> **毁灭性打击** 加利福尼亚州旧金山讯——在npm注册表中发生的一场毁灭性供应链攻击，导致数百万企业应用被攻陷、数十亿用户记录泄露之后，JavaScript生态系统中的开发者今天表达了深切的悲痛，哀叹这场危机完全无法避免。 “很遗憾，但你能怎么办呢？这就是构建现代网页应用要付出的代价。”高级前端工程师Mark Vance表示，他的观点代表了一个完全依赖一个未经审核、嵌套深度达40层、由匿名陌生人维护的包来大写单个字符串的社区。“绝对没有办法预见或阻止有人接管一个长期废弃的工具包，并向全球每个生产构建中注入加密货币挖矿程序。这就像天灾一样。” 截至发稿时，Node.js生态系统的居民们一致认为，这次恶意的远程代码执行是一起完全无法预测的悲剧，他们向正在拼命轮换公司AWS密钥的DevOps团队表达了祈祷与祝福。 有趣的是，在Go、Rust以及使用原生Web API的生态系统中——这些地方拥有强大的标准库、极大减少了对第三方代码的依赖，并且核心工具链内建了严格的加密验证——至今没有报道称有大学辍学生的周末项目瘫痪了全球物流基础设施。 “这很令人痛心，但我们必须接受这样一个现实：存在恶意行为者。我们不可能强制执行任何注册表策略或构建沙箱护栏来阻止它。”npm发言人在一个默认会在本地机器上愉快执行任意安装脚本的开源注册表前表示。“我们向受害者致以深切慰问。在明天早上无可避免的再次入侵到来之前，我们只能保持韧性。”