Vercel News
·
2025年9月8日关键npm供应链攻击响应
内容提要
2025年9月8日,18个流行的npm包遭遇供应链攻击,恶意代码影响加密货币交易。Vercel团队迅速识别受影响项目,清除构建缓存并通知客户。攻击源于针对npm维护者的网络钓鱼活动,建议开发者提高警惕,验证安全邮件。
关键要点
-
2025年9月8日,18个流行的npm包遭遇供应链攻击,恶意代码影响加密货币交易。
-
受影响的npm包包括chalk、debug和ansi-styles,恶意代码在浏览器中拦截加密货币交易。
-
Vercel团队迅速识别受影响项目,清除构建缓存,并通知客户。
-
恶意代码在客户端浏览器中执行,拦截加密货币和web3钱包交互,重定向支付地址至攻击者控制的地址。
-
分析发现有70个Vercel团队的76个独特项目包含受影响的包版本。
-
事件响应团队通过部署依赖追踪系统识别所有受影响项目,清除构建缓存,并通知客户。
-
恶意包版本已从npm中移除,重建项目后使用干净的包版本。
-
攻击源于针对npm维护者的网络钓鱼活动,攻击者使用了伪造的安全邮件。
-
建议开发者提高警惕,验证安全邮件,直接访问npmjs.com而非点击邮件链接。
-
受影响客户需重建通知邮件中列出的项目,审查依赖更新实践,考虑实施包版本固定。
-
所有客户应使用npm audit检查已知漏洞,在CI/CD管道中实施依赖扫描,考虑在生产构建中使用npm ci和锁定文件。
-
继续加强供应链安全,增强对可疑包更新的监控,改进事件期间的快速缓存失效工具。
-
此次事件强调了供应链安全的深度防御策略的重要性,尽管无法防止所有上游妥协,但可以通过快速检测和响应来最小化影响。
-
感谢Aikido Security的早期检测和npm社区对受影响包的快速响应。
延伸问答
2025年9月8日发生了什么npm供应链攻击?
18个流行的npm包遭遇供应链攻击,恶意代码影响加密货币交易。
受影响的npm包有哪些?
受影响的npm包包括chalk、debug和ansi-styles。
Vercel团队是如何应对这次攻击的?
Vercel团队识别受影响项目,清除构建缓存,并通知客户。
这次攻击的恶意代码是如何工作的?
恶意代码在客户端浏览器中执行,拦截加密货币和web3钱包交互,重定向支付地址至攻击者控制的地址。
开发者应该如何防范类似的攻击?
开发者应验证安全邮件,直接访问npmjs.com,而非点击邮件链接,并使用npm audit检查已知漏洞。
此次事件对供应链安全有什么启示?
此次事件强调了供应链安全的深度防御策略的重要性,通过快速检测和响应可以最小化影响。
