网络安全领域再起波澜,全球最大的Javascript包管理器npm遭遇重大安全事件。据网络安全机构Aikido Security披露,黑客通过精心设计的钓鱼攻击,成功入侵多名知名开发者账户,并在高频使用的软件包中植入恶意代码,引发业界广泛关注。
调查显示,攻击者将目标锁定在开发者Josh Junon(账号qix)等核心贡献者身上。黑客伪造了来自"support@npmjs.help"的邮件,谎称用户需要更新双重验证设置,否则账户将于2025年9月10日被锁定。该邮件诱导开发者点击恶意链接,并在虚假登录页面提交账户凭据,这些信息随即被传输至攻击者控制的服务器。
获得账户控制权后,攻击者在至少18个热门软件包中植入恶意代码。这些被篡改的包每周下载总量高达26亿次,其中debug包的周下载量就达到3.576亿次。npm安全团队在接到报告后,迅速移除了部分受影响软件包,但事件已造成广泛影响。
技术分析揭示,攻击者在接管软件包维护权限后,修改了index.js文件的核心代码。通过注入浏览器拦截器,恶意程序能够监控并修改加密货币交易地址。当用户进行以太坊、比特币、Solana等数字货币转账时,收款地址会被自动替换为攻击者指定的钱包地址,整个过程对用户完全透明。
研究人员指出,这段恶意代码通过挂钩fetch、XMLHttpRequest等网络请求接口,以及window.ethereum等钱包API实现攻击。它不仅能修改网页显示内容,还能篡改API调用参数,甚至改变应用认为用户正在签署的交易内容。这种深度劫持使得安全检测变得极为困难。
受影响的软件包清单令人震惊,包括chalk(周下载2.99亿次)、ansi-styles(3.71亿次)、supports-color(2.87亿次)等核心工具。安全专家Andrew MacPherson特别指出,并非所有用户都会中招,只有在特定时间段(美国东部时间上午9点至11点半)全新安装受影响包,并生成新package-lock.json文件的用户才面临风险。
这起事件并非孤立案例。今年7月,eslint-config-prettier包(周下载3000万次)就曾遭遇类似攻击;3月份更有10个npm库被植入恶意代码。连续发生的安全事故,暴露出开源软件供应链存在的系统性风险,也给全球开发者敲响了安全警钟。
