周下载量超20亿次NPM包被投毒!只因维护者点错一封邮件

快科技9月9日消息，据报道，近日攻击者通过网络钓鱼攻击，入侵了一名NPM包维护者的账户，并在多个高下载量的NPM包中注入了恶意软件。

这些受影响的NPM包每周的总下载量超过26亿次，其中包括一些极为流行的包，如debug、chalk和supports-color等。

被入侵的维护者名为Josh Junon（qix），他也确认了这一事件，Junon表示，他收到了一封来自邮件，这是一个伪装成合法npmjs.com域名的钓鱼网站。

邮件中，攻击者威胁称如果维护者不点击链接更新其双重认证，账户将在2025年9月10日被锁定，诱导维护者点击链接，从而将其重定向到钓鱼网站。

据其他收到相同钓鱼邮件的维护者和开发者报告，攻击者使用了相同的邮件模板进行攻击，在事件被发现后，NPM团队移除了攻击者发布的部分恶意版本。

此次攻击事件被发现的还算是及时，但即便如此也有无数网站受影响，不过不知道具体有多少用户的加密货币被窃取。

据Aikido Security分析，攻击者在接管这些包后，注入了恶意代码，这些代码作为基于浏览器的拦截器被注入到index.js文件中，能够劫持网络流量和应用程序API。

这种恶意代码只影响通过网络访问受感染应用程序的用户，它会监控加密货币地址和交易，并将这些交易重定向到攻击者控制的钱包地址，从而劫持交易。

受影响的软件包如下：

ansi-styles@6.2.2

debug@4.4.2

chalk@5.6.1

supports-color@10.2.1

strip-ansi@7.1.1

ansi-regex@6.2.1

wrap-ansi@9.0.1

color-convert@3.1.1

color-name@2.0.1

is-arrayish@0.3.3

slice-ansi@7.1.1

color@5.0.1

color-string@2.1.1

simple-swizzle@0.2.3

supports-hyperlinks@4.1.1

has-ansi@6.0.1

chalk-template@1.1.1

backslash@0.2.1