近日攻击者通过网络钓鱼攻击,入侵了一名NPM包维护者的账户,并在多个高下载量的NPM包中注入了恶意软件。这些受影响的NPM包每周的总下载量超过26亿次,其中包括一些极为流行的包,如debug、chalk和supports-color等。
被入侵的维护者名为Josh Junon(qix),他也确认了这一事件,Junon表示,他收到了一封来自邮件,这是一个伪装成合法npmjs.com域名的钓鱼网站。
邮件中,攻击者威胁称如果维护者不点击链接更新其双重认证,账户将在2025年9月10日被锁定,诱导维护者点击链接,从而将其重定向到钓鱼网站。
据其他收到相同钓鱼邮件的维护者和开发者报告,攻击者使用了相同的邮件模板进行攻击,在事件被发现后,NPM团队移除了攻击者发布的部分恶意版本。
此次攻击事件被发现的还算是及时,但即便如此也有无数网站受影响,不过不知道具体有多少用户的加密货币被窃取。
据Aikido Security分析,攻击者在接管这些包后,注入了恶意代码,这些代码作为基于浏览器的拦截器被注入到index.js文件中,能够劫持网络流量和应用程序API。
这种恶意代码只影响通过网络访问受感染应用程序的用户,它会监控加密货币地址和交易,并将这些交易重定向到攻击者控制的钱包地址,从而劫持交易。
受影响的软件包如下: