黑客通过钓鱼攻击劫持npm高频软件包:多个常用库受影响
(图片来自网络)
网络安全机构Aikido Security披露了一起针对npm软件包库的黑客攻击案例。据报道,黑客通过钓鱼邮件入侵知名开发者账户,在至少18个高频下载包中注入恶意代码,这些受影响包的周下载总量高达26亿次。
开发者Josh Junon(用户名qix)表示,他曾收到钓鱼邮件,声称需更新2FA认证,以此诱导点击钓鱼链接并提交账号凭据。黑客成功控制软件包后,修改了软件包的index.js文件,注入了浏览器拦截器类恶意代码,用于劫持网络流量与应用API,进而监控并替换加密货币收款地址,将交易重定向至攻击者钱包。
npm团队在收到反馈后,已移除部分被篡改的软件包,其中周下载量达3.576亿次的debug包被成功移除。受影响的npm库包括chalk、ansi-styles、supports-color、debug等十余个高频使用的软件包。
安全专家指出,并非所有用户都会受到波及,攻击需满足特定条件(如特定时间段内全新安装受影响包并生成新package-lock.json文件)才会触发。近期类似针对JavaScript库的攻击事件频发,凸显了网络安全风险的严峻性。同时,npm团队也在加强平台安全防护,提升软件包审核机制。
(声明:该内容经AI精编)
查看原网页
最新新闻
- 2025年9月18日:华为李小龙回应微博照片HDR显示问题:与HEIC格式有关
- 2025年9月18日:苹果iOS 26液态玻璃设计用户评价两极分化
- 2025年9月18日:华硕推出 LGA1851 迷你主机 ExpertCenter PB64,支持2.5英寸硬盘安装
- 2025年9月18日:欧冠利物浦3-2绝杀马竞 萨拉赫传射范迪克头球定乾坤
- 2025年9月18日:太阳官方晒新援中锋马克-威廉姆斯训练照
- 2025年9月18日:国米欧冠首战2-0胜阿贾克斯 取得开门红 小图拉姆双响恰尔汗奥卢助攻
- 2025年9月18日:DeepSeek - R1登上Nature封面:朝着AI透明化迈出的可喜一步
- 2025年9月18日:华为鸿蒙 HarmonyOS 6 系统取消‘NEXT’后缀更新披露
- 2025年9月18日:DeepSeek登Nature封面!R1训练成本曝光,梁文锋团队回应质疑
- 2025年9月18日:英伟达回应中国疑似停止芯片采购:黄仁勋称失望但理解地缘政治
- 2025年9月18日:世贸组织发布《2025世界贸易报告》:人工智能或推动全球贸易增长近40%
- 2025年9月18日:DeepSeek-R1大模型论文登Nature封面 梁文锋任通讯作者
- 2025年9月18日:苹果Apple Watch新增‘自适应电源’功能 延长续航
- 2025年9月18日:董明珠健康家半年开店970家 热点资讯汇总(含英伟达调查等)
- 2025年9月18日:阿里开源‘深度研究’Agent模型登顶开源榜首
- 2025年9月18日:苹果iPadOS 26多任务体验升级,生产力更接近Mac系统
- 2025年9月18日:克莱盛赞东契奇:科比特意观战体现其独特魅力
- 2025年9月18日:32岁凯恩欧冠6场10球3助攻,进攻效率亮眼
- 2025年9月18日:斯诺克英格兰公开赛:赵心童1-4不敌利索夫斯基无缘16强
- 2025年9月17日:快递行业集体上调收件价格 多地跟进引发行业关注
精彩评论(10)