关键词
恶意软件
Aikido Security披露了一起被称为史上最大规模的 npm 攻击事件。知名维护者qix的账户遭钓鱼邮件劫持,导致包括chalk、debug、ansi-styles在内的18 个高人气 npm 包被注入恶意代码。这些包合计每周下载量超过20 亿次,影响范围极其广泛。
攻击目的:劫持加密货币交易
与传统针对开发环境的恶意代码不同,此次注入的恶意逻辑专门针对加密货币钱包 API(如 MetaMask、Phantom 等)。
用户在界面上看到的仍是正确的收款地址;
实际签名交易时,资金会被重定向至攻击者控制的钱包。
研究显示,该恶意代码会:
篡改fetch、XMLHttpRequest等核心函数;
修改以太坊、比特币、Solana、Tron、莱特币、比特币现金等多种资产的交易数据;
使用“以假乱真”的地址替换收款方,从而在浏览器和 API 层双重伪造交易流程。
事件起因是 qix 收到冒充 npm 官方支持的钓鱼邮件(发件人:support@npmjs.help)。其账户被接管后,多个包被悄然更新。部分包(如simple-swizzle)在最新更新时仍处于受控状态。
Aikido 的恶意软件研究员Charlie Eriksen表示,他们在 5 分钟内就检测到异常,并在 1 小时内披露。快速响应限制了部分损害,但由于这些包在 JavaScript 生态中高度基础化,恶意版本极有可能已进入全球的生产系统。
受影响的主要项目包括:
chalk(每周 3 亿次下载)
debug(每周 3.58 亿次下载)
ansi-styles(每周 3.71 亿次下载)
此外还有 is-arrayish、strip-ansi、simple-swizzle 等工具与格式化库。
目前,安全专家建议:
回退至已知安全版本;
审计近期更新的依赖;
若应用涉及 Web3 交互,需重点监控链上交易。
Aikido 已在其官方博客实时更新事件进展。
安全圈
网罗圈内热点 专注网络安全
实时资讯一手掌握!
好看你就分享 有用就点个赞
支持「安全圈」就点个三连吧!
热门跟贴