周下载量超过20亿次的NPM包被投毒 开发者被钓鱼泄露凭据 黑客篡改网页盗取加密货币

基于 NPM 生态系统的供应链攻击正在变得越来越频繁、越来越严重，最新出现的供应链攻击涉及至少 18 个流行的代码包，这些代码包每周的下载次数超过 20 亿次。

攻击源头是开发者 & 维护者 Josh Junon 遭到钓鱼，黑客伪造类似 NPM 官方的通知和钓鱼网站要求其启用 2FA 验证，但开发者并未严格检查网址就提供了凭证导致自己的账户权限泄露。

随后黑客利用开发者权限向至少 18 个流行的 JavaScript 代码包中添加恶意代码，这些代码包则会被下游应用使用，当检测到某些终端环境时恶意代码就会启动。

黑客的目标是窃取加密货币：

此次供应链攻击的真正目的是窃取加密货币，黑客添加的恶意代码可以在浏览器中悄悄拦截加密货币活动，包括但不限于操纵钱包交互和重写支付目的地等。

也就是即便用户已经在浏览器上检查发送钱包地址是正确无误的，但实际上还是会发送到黑客控制的钱包账户，因为实际的钱包地址已经被篡改只是用户无法直接在网页上看到变化。

研究人员称这种恶意软件本质上就是基于浏览器的拦截器，可以拦截网络流量和应用程序 API，其危害在于拦截器可以在多个层面运行，例如篡改网址显示的内容、篡改 API 调用、操作应用程序正在签名的内容等，即便界面看起来正确，底层事务也可以在后台进行重定向。

开发者道歉并清理受损的软件包：

接到研究人员的通知后 Josh Junon 很快意识到自己遭遇到网络钓鱼，但这次攻击活动并不只是针对 Josh Junon，这名开发者收到的钓鱼邮件是黑客更大规模攻击活动的一部分，应该还有大量开发者也收到类似的钓鱼邮件。

Josh Junon 发布道歉声明承认自己遭到钓鱼，随后开发者开始清理受损的软件包，此次攻击事件被发现的还算是及时，但即便如此也有无数网站受影响，不过不知道具体有多少用户的加密货币被窃取。

下面是受影响的软件包：

– ansi-styles@6.2.2

– debug@4.4.2 (appears to have been yanked as of 8 Sep 18:09 CEST)

– chalk@5.6.1

– supports-color@10.2.1

– strip-ansi@7.1.1

– ansi-regex@6.2.1

– wrap-ansi@9.0.1

– color-convert@3.1.1

– color-name@2.0.1

– is-arrayish@0.3.3

– slice-ansi@7.1.1

– color@5.0.1

– color-string@2.1.1

– simple-swizzle@0.2.3

– supports-hyperlinks@4.1.1

– has-ansi@6.0.1

– chalk-template@1.1.1

– backslash@0.2.1

关注公众号：拾黑（shiheibook）了解更多

赞助链接：

关注数据与安全，洞悉企业级服务市场：https://www.ijiandao.com/
四季很好，只要有你，文娱排行榜：https://www.yaopaiming.com/
让资讯触达的更精准有趣：https://www.0xu.cn/