IT之家 9 月 9 日消息,网络安全机构 Aikido Security 披露了一起 npm 软件包库遭黑客攻击的案例。
据介绍,黑客通过钓鱼邮件入侵知名开发者 Josh Junon(用户名 qix)等人的账户,在至少 18 个高频下载包中注入恶意代码,这 18 个受影响的包周下载总量达 26 亿次。
qix 表示,他收到的钓鱼邮件来自 support@npmjs.help(npm 官网实际为 npmjs.com),声称用户需要更新 2FA 认证,否则账户将在 2025 年 9 月 10 日被锁定,从而诱导开发者点击钓鱼链接并提交凭据。
据称,恶意网站上的登录表单会将输入信息回传至攻击者控制的地址。npm 团队收到反馈后,已移除部分被篡改的软件包,包括周下载量达 3.576 亿次的 debug 包。
据 Aikido Security 技术分析,攻击者在接管维护权后修改了软件包的 index.js 文件,注入浏览器拦截器类代码,用于劫持网络流量与应用 API。
该恶意代码会监控并替换以太坊、比特币、Solana、Tron、莱特币和比特币现金等加密货币的收款地址,将交易重定向至攻击者钱包。
研究人员指出,这段代码通过挂钩 fetch、XMLHttpRequest 以及钱包 API(如 window.ethereum、Solana API 等)实现,能够在用户毫无察觉的情况下修改网页显示内容、篡改 API 调用,并改变应用认为正在签署的交易内容。
IT之家查询获悉,受影响的 npm 包括:chalk(2.99 亿次 / 周)、ansi-styles(3.71 亿次 / 周)、supports-color(2.87 亿次 / 周)、strip-ansi(2.61 亿次 / 周)、wrap-ansi(1.97 亿次 / 周)、debug(3.576 亿次 / 周)等。
安全专家 Andrew MacPherson 表示,并非所有用户都会受到波及,受影响需满足特定条件,例如在美国东部时间上午 9 点至 11 点半之间全新安装了受影响包,并生成了新的 package-lock.json 文件。
近月来,黑客频繁针对 JavaScript 库发起攻击,例如 7 月 eslint-config-prettier 包(周下载 3000 万次)也曾遭入侵,今年 3 月另有 10 个 npm 库被攻击。
