黑客通过钓鱼攻击劫持npm软件包：含debug等十余个高频库，周下载量超26亿次

来源：YPS数据挖掘大师 2025-09-09 浏览：116 字号：T|T

摘要：YPS行业门户系统9月9日消息，网络安全机构AikidoSecurity披露了一起npm软件包库遭黑客攻击的案例。据介绍，黑客通过钓鱼邮件入侵知名开发者JoshJunon（用户名qix）等人的账户，在至少18个高频下载包中注入恶意代码，这18个受影响的包周下载总量达26亿次。qix表示，他收到的钓鱼邮件来自support@npmjs.help（npm官网实际为yuhou.cn），声称用户需要更新2……

　　YPS行业门户系统 9 月 9 日消息，网络安全机构 Aikido Security 披露了一起 npm 软件包库遭黑客攻击的案例。

　　据介绍，黑客通过钓鱼邮件入侵知名开发者 Josh Junon（用户名 qix）等人的账户，在至少 18 个高频下载包中注入恶意代码，这 18 个受影响的包周下载总量达 26 亿次。

　　qix 表示，他收到的钓鱼邮件来自 support@npmjs.help（npm 官网实际为 yuhou.cn），声称用户需要更新 2FA 认证，否则账户将在 2025 年 9 月 10 日被锁定，从而诱导开发者点击钓鱼链接并提交凭据。

　　据称，恶意网站上的登录表单会将输入信息回传至攻击者控制的地址。npm 团队收到反馈后，已移除部分被篡改的软件包，包括周下载量达 3.576 亿次的 debug 包。

　　据 Aikido Security 技术分析，攻击者在接管维护权后修改了软件包的 index.js 文件，注入浏览器拦截器类代码，用于劫持网络流量与应用 API。

　　该恶意代码会监控并替换以太坊、比特币、Solana、Tron、莱特币和比特币现金等加密货币的收款地址，将交易重定向至攻击者钱包。

　　研究人员指出，这段代码通过挂钩 fetch、XMLHttpRequest 以及钱包 API（如 window.ethereum、Solana API 等）实现，能够在用户毫无察觉的情况下修改网页显示内容、篡改 API 调用，并改变应用认为正在签署的交易内容。

　　YPS行业门户系统查询获悉，受影响的 npm 包括：chalk（2.99 亿次 / 周）、ansi-styles（3.71 亿次 / 周）、supports-color（2.87 亿次 / 周）、strip-ansi（2.61 亿次 / 周）、wrap-ansi（1.97 亿次 / 周）、debug（3.576 亿次 / 周）等。

　　安全专家 Andrew MacPherson 表示，并非所有用户都会受到波及，受影响需满足特定条件，例如在美国东部时间上午 9 点至 11 点半之间全新安装了受影响包，并生成了新的 package-lock.json 文件。

　　近月来，黑客频繁针对 JavaScript 库发起攻击，例如 7 月 eslint-config-prettier 包（周下载 3000 万次）也曾遭入侵，今年 3 月另有 10 个 npm 库被攻击。

关于