維護者令牌在網路釣魚攻擊中被盜後,惡意軟體被注入 6 個 npm 軟體包
網路安全研究人員已發出警報,稱有人發起了針對流行 npm 套件的供應鏈攻擊,該攻擊透過網路釣魚活動進行,旨在竊取專案維護者的 npm 令牌。然後,捕獲的令牌被用來將軟體包的惡意版本直接發佈到註冊表,而無需在各自的 GitHub 儲存庫上提交任何原始程式碼或提出拉取請求。根據Socket 的說法,受影響的軟體包及其惡意版本的列表如下 -- eslint-config-prettier(版本 8.10.1、9.1.1、10.1.6 和 10.1.7)
- eslint-plugin-prettier(版本 4.2.2 和 4.2.3)
- synckit(版本 0.11.9)
- @pkgr/core(版本 0.2.8)
- napi-postinstall(版本 0.3.1)
該軟體供應鏈安全公司表示:“注入的程式碼試圖在 Windows 機器上執行 DLL,可能允許遠端程式碼執行。”
這項進展是在網路釣魚活動之後發生的,該活動被發現發送冒充 npm 的電子郵件,以誘騙專案維護者點擊網域搶注的連結(“npnjs[.]com”,而不是“npmjs[.]com”)來獲取他們的憑證。 根據 Socket 的說法,受害者被重定向到的虛假登陸頁面是合法 npm 登入頁面的克隆,旨在捕獲他們的登入資訊。建議使用受影響軟體套件的開發人員仔細檢查已安裝的版本,並回滾到安全版本。建議專案維護人員啟用雙重認證以保護其帳戶,並使用作用域令牌(而非密碼)發佈軟體包。 這項發現與另一起無關的活動相吻合,該活動向 npm 推送了 28 個包含抗議軟體功能的軟體包,這些軟體包可以禁用俄羅斯或白俄羅斯域名網站上的滑鼠互動。這些軟體包還可以循環播放烏克蘭國歌。然而,這種攻擊只有在網站訪客將瀏覽器語言設定為俄語時才會生效,而且在某些情況下,同一網站會被重複訪問,從而確保只有重複訪問者才會成為攻擊目標。此次攻擊活動標誌著上個月首次發現的攻擊活動的進一步擴展。 同時,Arch Linux 團隊表示,他們已經從現已刪除的GitHub 儲存庫中撤下了三個惡意 AUR 包,這些套件被上傳到 Arch 用戶儲存庫 ( AUR ),並隱藏了安裝名為Chaos RAT的遠端存取木馬的隱藏功能。受影響的軟體包包括:「librewolf-fix-bin」、「firefox-patch-bin」和「zen-browser-patched-bin」。它們是由名為「 danikpapas 」的用戶於 2025 年 7 月 16 日發布。維護人員表示: “這些軟體包正在安裝來自同一 GitHub 存儲庫的腳本,該腳本已被識別為遠端訪問木馬 (RAT)。我們強烈建議可能安裝了這些軟體包的用戶將其從系統中刪除,並採取必要措施,確保其不被感染。”
資料來源:https://thehackernews.com/2025/07/malware-injected-into-6-npm-packages.html