文章总结： 近期发生针对Node.js和npm核心维护者的高度协同社会工程攻击，攻击者通过LinkedIn或Slack伪装成招聘人员或媒体，利用虚假视频会议平台诱导开发者下载恶意程序，从而窃取浏览器会话cookie、AWS凭证和发布令牌，完全绕过双因素认证。该攻击与疑似朝鲜威胁组织UNC1069相关，旨在劫持npm发布权限进行供应链攻击，安全专家呼吁开发者提高警惕并分享经验以增强集体防御。 综合评分： 88 文章分类： 社会工程学,供应链安全,漏洞预警,安全运营,威胁情报

黑客对Node.js关键维护者发起社会工程攻击

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年4月5日 12:06 辽宁

继广泛使用的 Axios 软件包发生备受瞩目的供应链泄露事件后，一场针对顶级 Node.js 和 npm 维护者的高度协调的社会工程攻击活动被揭露出来。

安全研究人员证实，Axios 数据泄露事件是旨在渗透全球软件供应链的大规模行动的一部分。

威胁行为者正在积极寻找拥有基础开源软件包写入权限的开发者，将受信任的维护者变成恶意软件的分发渠道。

目标人员管理着对现代软件基础设施至关重要的工具，每月累计下载量达数十亿次。

攻击者最近试图入侵 Socket 首席执行官 Feross Aboukhadijeh、Lodash 创建者 John-David Dalton 和 Fastify 首席维护者 Matteo Collina 的账户。

其他被列入名单的知名人士包括 dotenv 包的 Scott Motte、Node.js 核心合作者 Jean Burellier 以及 Wes Todd 和 Pelle Wessman 等生态系统贡献者。

Aboukhadijeh 警告社区，这种针对个人维护者的持续性、有针对性的骚扰已经成为新的常态。

威胁行为者不会依赖简单的网络钓鱼链接，而是会耐心地执行长达数周的计划，旨在建立真正的信任关系。

攻击者通常通过 LinkedIn 或 Slack 发起联系，冒充合法的招聘人员、营销机构或播客主持人，并使用“Openfort”等虚假公司名称。

他们以专业的企业行为举止行事，精心安排和重新安排视频会议，以解除目标对象的戒备，并建立虚假的信任感。

一旦维护者同意开会，他们就会被引导到一个仿冒的视频会议平台，该平台旨在模仿 Microsoft Teams或 Streamyard。

受害者加入通话后不久，就会看到一条技术上合理的音频或视频错误信息。

为了解决这个人为制造的问题，该网站会提示开发者下载一个本地应用程序或执行一个终端命令。如果受害者照做，恶意程序就会在其计算机上静默安装一个持久性远程访问木马。

这种恶意软件部署具有毁灭性的效果，因为它完全绕过了双因素身份验证等标准安全措施。

Socket 的安全研究员 Tay 解释说，该木马程序会立即捕获受害者身份验证后的状态。

通过窃取活动浏览器会话 cookie、AWS 凭证和发布令牌，攻击者可以立即获得对 npm 注册表的写入权限。

开发者 Wes Todd 警告说，虽然基于 OIDC 的发布提高了安全意识，但它会给人一种虚假的安全感，使人无法抵御完全被攻破的本地计算机。

网络安全专家和组织已将这些复杂的行动与疑似朝鲜威胁组织 UNC1069 联系起来。

从历史上看，UNC1069 曾花费数年时间，利用高级恶意软件攻击加密货币创始人及风险投资家，以榨干他们的数字钱包。

然而，他们转向开源维护者的战略举措标志着事态的严重升级。攻击者通过劫持开发者的npm 发布权限，可以分发恶意更新，这些更新会被全球数百万个持续集成管道自动接收。

网络安全界敦促开发人员保持高度警惕，并分享他们的经验，不要害怕尴尬。

随着威胁行为者不断改进其策略，包括利用 Slack 群组等平台以及部署人工智能生成的视频角色，集体意识仍然是最强大的防御手段。

开发人员的计算机一旦被攻破，就等于直接攻击了数百万个默默依赖于其代码的企业服务。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527 网络安全9527《黑客对Node.js关键维护者发起社会工程攻击》