npm史上最大供应链攻击:每周下载量超20亿的软件包遭大规模攻击劫持
💡
原文中文,约1200字,阅读约需3分钟。
📝
内容提要
网络安全公司Aikido Security披露了npm生态系统中最大规模的供应链攻击,攻击者通过钓鱼邮件入侵维护者账户,篡改了18个流行软件包,影响每周超过20亿次下载。恶意代码主要针对加密货币交易,劫持用户交易。建议开发者回滚至安全版本并监控相关应用。
🎯
关键要点
- 网络安全公司Aikido Security披露了npm生态系统中最大规模的供应链攻击。
- 攻击者通过钓鱼邮件入侵维护者账户,篡改了18个流行软件包。
- 受影响的软件包每周总下载量超过20亿次,主要包括chalk、debug和ansi-styles。
- 攻击者伪造邮件获取维护者账户权限,恶意代码影响广泛。
- 恶意代码专门针对浏览器端的加密货币交易,劫持用户交易。
- 攻击者篡改交易数据,伪造收款方地址,转入攻击者账户。
- Aikido在5分钟内识别攻击,1小时内完成披露。
- 建议开发者回滚至安全版本,审计依赖项,并监控加密货币交易应用。
- 部分软件包仍处于被控状态,Aikido提供实时更新通道。
➡️
