近日,攻击者利用网络钓鱼手段入侵了一名NPM包维护者的账户,并在多个高下载量的NPM包中植入了恶意软件。这些受影响的NPM包每周总下载量超过26亿次,包括debug、chalk和supports-color等热门包。攻击者通过伪装成合法npmjs.com域名的钓鱼邮件,诱导维护者点击链接并提交凭据,进而在至少18个高频下载包中注入恶意代码。npm团队已移除部分被篡改的软件包,但部分用户的加密货币交易可能已被劫持。
简体中文 English
简体中文
English