重大安全事件:NPM 包供应链攻击
2025-09-09
黑客通过网络钓鱼攻击入侵了拥有超过26亿周下载量的NPM软件包维护者的账户,并在其中植入了恶意软件,构成了一起严重的供应链攻击事件。攻击者利用伪造的npm邮件诱导维护者更新2FA,窃取其账户控制权,然后在多个流行的包中注入恶意代码。该恶意代码能够拦截浏览器中的加密货币交易,将资金转移到攻击者控制的钱包地址。虽然NPM团队已删除部分恶意版本,但此次事件凸显了软件供应链安全的脆弱性,以及网络钓鱼和浏览器攻击的日益严重性。
开发