這個可以加載惡意程序的JavaScrip庫叫做Event-Stream，非常受者歡迎，在npm.org存儲庫上每週下載量超過200萬。但在三個月前，由於缺乏時間和興趣原作者將開發和維護工作交給另一位程序員Right9ctrl。Event-Stream，是一個用於處理Node.js流數據的JavaScript npm包。

根據Twitter、GitHub和Hacker News上用戶反饋，該惡意程序在默認情況下處於休眠狀態，不過當Copay啟動（由比特幣支付平台BitPay開發的桌面端和移動端錢包應用）之後就會自動激活。它將會竊取包括私鑰在內的用戶錢包信息，並將其發送至copayapi.host的8080端口上。

目前已經確認9月至11月期間，所有版本的Copay錢包都被認為已被感染。今天早些時候，BitPay團隊發布了Copay v5.2.2，已經刪除Event-Stream和Flatmap-Stream依賴項。惡意的Event-Stream v3.3.6也已從npm.org中刪除，但Event-Stream庫仍然可用。這是因為Right9ctrl試圖刪除他的惡意代碼，發布了不包含任何惡意代碼的後續版本的Event-Stream。

建議使用這兩個庫的項目維護人員將其依賴樹更新為可用的最新版本–Event-Stream版本4.0.1。此鏈接包含所有3,900+ JavaScript npm軟件包的列表，其中Event-Stream作為直接或間接依賴項加載。