周下载量超过20亿次的NPM包被投毒 开发者被钓鱼泄露凭据 黑客篡改网页盗取加密货币
基于 NPM 生态系统的供应链攻击正在变得越来越频繁、越来越严重,最新出现的供应链攻击涉及至少 18 个流行的代码包,这些代码包每周的下载次数超过 20 亿次。
攻击源头是开发者 & 维护者 Josh Junon 遭到钓鱼,黑客伪造类似 NPM 官方的通知和钓鱼网站要求其启用 2FA 验证,但开发者并未严格检查网址就提供了凭证导致自己的账户权限泄露。
随后黑客利用开发者权限向至少 18 个流行的 JavaScript 代码包中添加恶意代码,这些代码包则会被下游应用使用,当检测到某些终端环境时恶意代码就会启动。
黑客的目标是窃取加密货币:
此次供应链攻击的真正目的是窃取加密货币,黑客添加的恶意代码可以在浏览器中悄悄拦截加密货币活动,包括但不限于操纵钱包交互和重写支付目的地等。
也就是即便用户已经在浏览器上检查发送钱包地址是正确无误的,但实际上还是会发送到黑客控制的钱包账户,因为实际的钱包地址已经被篡改只是用户无法直接在网页上看到变化。
研究人员称这种恶意软件本质上就是基于浏览器的拦截器,可以拦截网络流量和应用程序 API,其危害在于拦截器可以在多个层面运行,例如篡改网址显示的内容、篡改 API 调用、操作应用程序正在签名的内容等,即便界面看起来正确,底层事务也可以在后台进行重定向。
开发者道歉并清理受损的软件包:
接到研究人员的通知后 Josh Junon 很快意识到自己遭遇到网络钓鱼,但这次攻击活动并不只是针对 Josh Junon,这名开发者收到的钓鱼邮件是黑客更大规模攻击活动的一部分,应该还有大量开发者也收到类似的钓鱼邮件。
Josh Junon 发布道歉声明承认自己遭到钓鱼,随后开发者开始清理受损的软件包,此次攻击事件被发现的还算是及时,但即便如此也有无数网站受影响,不过不知道具体有多少用户的加密货币被窃取。
下面是受影响的软件包:
– ansi-styles@6.2.2
– debug@4.4.2 (appears to have been yanked as of 8 Sep 18:09 CEST)
– chalk@5.6.1
– supports-color@10.2.1
– strip-ansi@7.1.1
– ansi-regex@6.2.1
– wrap-ansi@9.0.1
– color-convert@3.1.1
– color-name@2.0.1
– is-arrayish@0.3.3
– slice-ansi@7.1.1
– color@5.0.1
– color-string@2.1.1
– simple-swizzle@0.2.3
– supports-hyperlinks@4.1.1
– has-ansi@6.0.1
– chalk-template@1.1.1
– backslash@0.2.1
-
Strapi 开源且高度可定制的CMS
Strapi 是一个开源且高度可定制的 CMS。传统建网站,内容和页面样式绑得死死的,改起来很麻烦。Strapi 不一样!它只管存储和管理你的文字、图片、视频等内容本身,不限制你怎么把它们显示出来。你
-
谷歌推出Chrome紧急更新v138.0.7204.97修复已经被黑客利用的高危漏洞
谷歌刚刚为 Chrome 浏览器推出紧急安全更新用于修复 JavaScript v8 引擎中的高危安全漏洞,该漏洞编号 CVE-2025-6554,属于 v8 引擎中的类型混淆漏洞。目前已经有黑客利用
-
Mind-Map国产纯前端思维导图神器
Mind-Map是一个JS思维导图库,完全运行在前端。这意味着你不需要额外的后端支持,直接集成到自己的web项目里就能用。作者把它设计成两部分:• 思维导图核心• 一个简易的web操作界面整个库不依赖
关注公众号:拾黑(shiheibook)了解更多
赞助链接:
关注数据与安全,洞悉企业级服务市场:https://www.ijiandao.com/
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
关注网络尖刀微信公众号
微信扫码关注公众号