npm 生態系近日遭受了有史以來規模最大的供應鏈入侵事件，其攻擊手法之精密與影響範圍之廣，對全球開發者社群構成嚴重威脅。

Aikido Security 發現了可能是有史以來規模最大的 npm 供應鏈入侵事件，一位長期值得信賴的 npm 維護人員的帳戶qix透過釣魚郵件被劫持，18 個熱門軟體包被惡意程式碼篡改。這些軟體包包括chalk、debug 和 ansi-styles，每週下載量超過 20 億次。好消息是，偵測速度夠快，足以限制損失。 Aikido 首席惡意軟體研究員 Charlie Eriksen 表示，此次攻擊在五分鐘內就被識別，並在一小時內被披露。

此次植入的惡意程式碼主要針對瀏覽器中的加密貨幣錢包，而非傳統的開發環境。駭客透過修改 MetaMask 和 Phantom 等錢包的 API，攔截並篡改交易數據，將資金轉移至他們控制的位址。惡意程式碼甚至能修改 fetch 和 XMLHttpRequest 等常用函數，以重寫網路流量，使惡意的加密貨幣轉帳看起來像合法的交易，極具欺騙性。

為了應對此類威脅，開發者應立即檢查並回溯至受影響軟體包的已知安全版本，仔細審核近期所有更新，並密切監控與應用程式互動的加密貨幣交易。這起事件再次凸顯了開源供應鏈的脆弱性，並提醒所有開發者和企業，資安防護必須從基礎開始，並持續保持警覺。

資料來源：https://hackread.com/npm-packages-2-billion-downloads-hacked-attack/