近日，安全研究人员披露了一个名为“Lotusbail”的npm软件包存在恶意行为，该包累计下载量已超过5.6万次。该软件包被证实会暗中窃取用户设备上的WhatsApp聊天记录以及联系人列表，并将这些敏感数据外传到攻击者控制的服务器。这一事件突显了开源软件供应链安全面临的严峻挑战，尤其是npm这类庞大的代码仓库中，恶意包可能通过依赖关系被广泛传播，对开发者及最终用户构成严重威胁。目前，该恶意包已被报告并从npm官方仓库中移除，但此前已下载并使用的项目仍需进行安全审计和清理。此事件在技术社区引发广泛讨论，相关Hacker News帖子获得了247个点赞和152条评论，反映出行业对软件供应链安全的高度关注。