輕量級 JavaScript 實用工具庫 "is" 是 NPM 平臺上的熱門項目,每周下載量超過 220 萬次。然而在 2025 年 7 月 19 日,該庫開發者遭遇釣魚攻擊導致賬戶憑證泄露,攻擊者借此發布了包含遠程代碼執行后門的惡意版本。
釣魚攻擊入侵開發者賬戶
據報告,項目維護者 John Harband 收到了一封偽裝成 NPMJS 官方的電子郵件,要求進行賬戶驗證。點擊郵件內嵌鏈接后,他被重定向至釣魚網站。在不知情的情況下提交憑證后,攻擊者直接獲取了其 NPM 賬戶權限。
惡意代碼注入與傳播
攻擊者隨后修改軟件包并植入后門。分析顯示,該惡意負載建立了基于 WebSocket 的通信通道以實現遠程代碼執行。受影響版本包括 is v3.3.1 至 v5.0.0。這些惡意軟件包在 NPM 官方下架前已存活約六小時。
此次事件不僅涉及單個庫。其他項目如 eslint-config-prettier、synckit、@pkgr/core、napi-postinstall 和 got-fetch 同樣遭到入侵,均被植入類似的遠程訪問負載——這表明多名開發者已成為攻擊目標。
新型信息竊取惡意軟件曝光
研究人員還發現了一款名為 Scavanger 的信息竊取惡意軟件,該軟件似乎專門針對 Windows NT 系統開發。它能從瀏覽器中提取敏感數據,很可能是為了竊取存儲的加密貨幣錢包憑證。
安全建議
使用上述任一軟件包的開發者應立即采取以下措施:
- 審計項目依賴項
- 驗證版本完整性
- 立即升級至凈化后的發布版本
項目維護者還應發布公開安全通告,提醒終端用戶并降低潛在風險。
)
)
)
)
創建型:原型模式詳解)
)
