在维护者的帐户在网络钓鱼攻击中遭到入侵后，作为软件供应链攻击的一部分，多个 npm 包已被泄露。

这次攻击针对的是 Josh Junon（又名 Qix），他收到了一封模仿 npm （“support@npmjs[.]帮助“），敦促他们在 2025 年 9 月 10 日之前通过单击嵌入链接更新双因素身份验证 （2FA） 凭据。

据说该网络钓鱼页面提示联合维护者输入他们的用户名、密码和双因素身份验证 （2FA） 令牌，结果它可能通过中间对手 （AitM） 攻击被盗，并用于将流氓版本发布到 npm 注册表。

以下 20 个包每周总共吸引了超过 20 亿次下载，已被确认为受影响的事件的一部分 –

• [email protected]
• [email protected]
• [email protected]
• [email protected]
• 粉笔[email protected]
• 颜色[email protected]
• 颜色[email protected]
• 颜色[email protected]
• [email protected]
• 错误[email protected]
• [email protected]
• [email protected]
• 原始修补匠[email protected]
• 支持[email protected]
• 简单[email protected]
• 切片[email protected]
• 条带[email protected]
• 支持[email protected]
• 支持[email protected]
• 包装[email protected]

“对不起大家，我应该多加注意，”朱农在 Bluesky 上的一篇帖子中说。“不像我;度过了充满压力的一周。将努力清理这个问题。

对注入源代码的混淆恶意软件的分析表明，它旨在拦截加密货币交易请求，并通过计算 Levenshtein 距离将目标钱包地址与攻击者控制的钱包交换，该钱包与其紧密匹配。

根据 Aikido Security 的 Charlie Eriksen 的说法，有效负载充当基于浏览器的拦截器，劫持网络流量和应用程序 API，通过重写请求和响应来窃取加密货币资产。目前尚不清楚谁是这次袭击的幕后黑手。

“有效负载首先检查 typeof window ！== ‘undefined’ 以确认它正在浏览器中运行，”Socket 说。“然后它连接到 window.fetch、XMLHttpRequest 和 window.ethereum.request 以及其他钱包提供商 API。”

“这意味着该恶意软件的目标是访问包含受感染代码的站点的连接钱包的最终用户。开发人员本质上并不是目标，但如果他们在浏览器中打开受影响的站点并连接钱包，他们也会成为受害者。

npm 和 Python 包索引 （PyPI） 等包生态系统由于其在开发者社区中的受欢迎程度和广泛影响力而仍然是反复出现的目标，攻击者滥用与这些平台相关的信任来推送恶意负载。

除了直接发布恶意包之外，攻击者还采用了误植甚至利用人工智能幻觉依赖项（称为草率抢注）等技术来诱骗开发人员安装恶意软件。该事件一度表明需要保持警惕并强化 CI/CD 管道并锁定依赖项。

根据 ReversingLabs 的 2025 年软件供应链安全报告，2024 年与加密货币相关的 23 起恶意活动中有 14 起针对 npm，其余活动与 PyPI 有关。

“不幸的是，我们看到 npm 包粉笔和调试的情况是当今软件供应链中的一个常见例子，”Sonatype 现场首席技术官 Ilkka Turunen 告诉 The Hacker News。

“恶意有效负载的重点是加密货币盗窃，但这次接管是在现在建立的经典攻击之后进行的——通过接管流行的开源包，对手可以窃取机密、留下后门并渗透到组织中。”

“针对这些软件包的开发者并不是一个随机选择。包接管现在是像 Lazarus 这样的高级持续威胁组织的标准策略，因为他们知道他们可以通过渗透到一个资源不足的项目来接触到世界上大量的开发人员群体。