起因

业界大佬雪碧老师发的文:今天我们发现一位公关试图毒害我们的GitHub项目
一个名为 chalk-next 复刻 chalk 的包文件中包含递归删除本地配置代码。

NPM 地址: https://www.npmjs.com/package/chalk-next 现在已经看不见了

作者为 vue-admin-beautiful 前端 Admin 项目的作者

经过

有人顺着这个人查了下。

  1. 这个人很可能是那个不断发广告文档收费的那个,那个 1w stars 但是没有 issues 和 PR.

  2. 这个人的 v2ex 相关的帖子

  3. 这个人做了不少包名 + next 都包含递归删除的代码

  4. GitHub 搜了下,有几个项目用了这些包其中还有企业项目

image.png

v2ex相关帖子:

评论部分内容:

从他的营销 vue-admin-beautiful 就感到恶心,果然丑人多作怪

https://www.npmjs.com/package/chokidar-next?activeTab=explore
搜索 thanks 不止 chalk-next 投了, 其他的一些 -next 都有, 这人真是不怕死啊, 干这种缺德事..

可怜,这人生活得过的多不如意才能把删除别人文件的函数起名叫 thanks

文章部分内容:

开一个新的项目,不想把前端的时间都浪费在写页面上,于是谷歌了一圈,发现 vue-admin-beautiful 挺好看的(界面看起来不错),并且收费也不贵,但是没用过,于是想着先来个免费的看看。

其实在用之前,v 站搜了一圈,发现很多人吐槽割韭菜,当时想的是如果确实好用,几百块也不贵,就没细看,结果就入坑了

没有文档

选择的开源版,clone 后项目跑起来没有文档??

最后在 github 上找到一段话

请我们喝杯咖啡,支付后联系 QQ 783963206 邀请您进入讨论群(由于用户数较多,如果您打赏后未通过好友请求,请在支付宝支付页面选择联系商家),不管您请还是不请,您都可以享受到开源的代码,感谢您的支持和信任,群内提供 vue-admin-beautifu 基础版本、开发工具自动配置教程及项目开发文档。

说实话,这段话在我看来,就是:没有文档,想要文档给 20 再说~

文档不全 + 引导好评

你以为给了 20 就完事了?文档里面只是简单的描述了一下运行原理,配置项等基础信息。

一般人 clone 之后,都想改主题,我想作者肯定是发现了这个需求,文档上没有任何关于修改主题的说明。最后通过阅读代码,发现只需要更改 body 的 class 属性即可。等修改完代码一看,改了属性不起作用。这个时候回到群机器人看到了这个消息

我真的被惊到了,开源项目能做到这种无耻的程度,也是没有第二人了。 其实对于我来说,付费真的没关系,关键是吃相不能这么难看。

据说作者就在 v 站,特意发帖避免后面的人入坑。 你可以直接把我踢出群,删除文档权限,我那 20 就当喂了狗。

结果

上一次投毒事件(faker.js)才过去不久,又出现了一起,开源圈子的一种信任危机,有网友说npm模块是真的不敢闭着眼睛用,公司项目用的包我甚至要去瞅一眼源码和issue才敢用,的确如此,开源的初衷是好的,但是打着开源的幌子,恰烂钱,就。。。。

注:信息来源于网络,请大家理性吃瓜