黑客通过钓鱼攻击劫持npm软件包:含chalk、debug等十余个高频库

IT之家 9 月 9 日消息，网络安全机构 Aikido Security 披露了一起 npm 软件包库遭黑客攻击的案例。

据介绍，黑客通过钓鱼邮件入侵知名开发者 Josh Junon（用户名 qix）等人的账户，在至少 18 个高频下载包中注入恶意代码，这 18 个受影响的包周下载总量达 26 亿次。

qix 表示，他收到的钓鱼邮件来自 support@npmjs.help（npm 官网实际为 npmjs.com），声称用户需要更新 2FA 认证，否则账户将在 2025 年 9 月 10 日被锁定，从而诱导开发者点击钓鱼链接并提交凭据。

据称，恶意网站上的登录表单会将输入信息回传至攻击者控制的地址。npm 团队收到反馈后，已移除部分被篡改的软件包，包括周下载量达 3.576 亿次的 debug 包。

据 Aikido Security 技术分析，攻击者在接管维护权后修改了软件包的 index.js 文件，注入浏览器拦截器类代码，用于劫持网络流量与应用 API。

该恶意代码会监控并替换以太坊、比特币、Solana、Tron、莱特币和比特币现金等加密货币的收款地址，将交易重定向至攻击者钱包。

研究人员指出，这段代码通过挂钩 fetch、XMLHttpRequest 以及钱包 API（如 window.ethereum、Solana API 等）实现，能够在用户毫无察觉的情况下修改网页显示内容、篡改 API 调用，并改变应用认为正在签署的交易内容。

IT之家查询获悉，受影响的 npm 包括：chalk（2.99 亿次 / 周）、ansi-styles（3.71 亿次 / 周）、supports-color（2.87 亿次 / 周）、strip-ansi（2.61 亿次 / 周）、wrap-ansi（1.97 亿次 / 周）、debug（3.576 亿次 / 周）等。

安全专家 Andrew MacPherson 表示，并非所有用户都会受到波及，受影响需满足特定条件，例如在美国东部时间上午 9 点至 11 点半之间全新安装了受影响包，并生成了新的 package-lock.json 文件。

近月来，黑客频繁针对 JavaScript 库发起攻击，例如 7 月 eslint-config-prettier 包（周下载 3000 万次）也曾遭入侵，今年 3 月另有 10 个 npm 库被攻击。