热门JavaScript库"is"等软件包遭npm供应链攻击植入后门
💡
原文中文,约1200字,阅读约需3分钟。
📝
内容提要
轻量级 JavaScript 库 'is' 于 2025 年遭遇钓鱼攻击,导致恶意版本发布,含远程代码执行后门。攻击者通过伪装邮件获取开发者凭证,修改软件包并植入恶意代码。受影响版本为 v3.3.1 至 v5.0.0,建议开发者审计依赖项并升级至安全版本。
🎯
关键要点
- 轻量级 JavaScript 库 'is' 于 2025 年遭遇钓鱼攻击,导致恶意版本发布。
- 攻击者通过伪装邮件获取开发者凭证,修改软件包并植入恶意代码。
- 受影响版本为 v3.3.1 至 v5.0.0,恶意负载建立了基于 WebSocket 的通信通道。
- 此次事件影响多个项目,表明多名开发者成为攻击目标。
- 研究人员发现名为 Scavanger 的信息窃取恶意软件,专门针对 Windows NT 系统。
- 安全建议包括审计项目依赖项、验证版本完整性和升级至安全版本。
- 项目维护者应发布公开安全通告,提醒终端用户并降低潜在风险。
➡️
