近期，駭客利用熱門的 npm 開源套件庫發動了一波惡意供應鏈攻擊。資安研究人員發現，數個惡意植入的 npm 套件專門針對 Windows 系統上使用 Google Chrome 瀏覽器的用戶。這些惡意套件使用了多層次的程式碼混淆技術，以躲避偵測。

一旦開發者不慎將其納入專案，安裝過程中的指令碼便會自動執行，悄無聲息地竊取用戶的敏感資料。被盜取的數據包括儲存的密碼、信用卡資訊、瀏覽器歷史記錄、加密貨幣錢包數據，甚至開發者常用的憑證與密鑰。這些攻擊利用了用戶對合法軟體的信任，極具隱蔽性。

儘管這些惡意套件在短時間內被迅速移除，但由於其影響廣泛，仍有數千名開發者可能已經暴露於風險之中。此事件再次突顯了開源軟體供應鏈的脆弱性。

為防範此類風險，開發者應立即審核其專案依賴，並採取更嚴格的措施來驗證所使用的套件。此外，建議所有用戶應定期更改密碼，並使用多重驗證，以確保個人與開發環境的安全。