2022年於比利時創立的資安新創Aikido Security在本周一(9/8)揭露,駭客藉由假冒為NPM(Node Package Manager)市集的客戶支援部門,向眾多NPM套件開發者發送釣魚郵件以騙取憑證,並成功在至少18個熱門套件植入惡意程式,涵蓋除錯工具、涉及終端機顯示的核心套件,以及CLI工具必備的終端機樣式庫等基礎套件,每周下載量達數十億次。駭客的目的在於,竊取受害者的加密貨幣。
根據調查,駭客是在2025年的9月5日才註冊npmjs.help網域名稱,以模仿官方的npmjs.com,接著寄出偽裝為NPM客服的釣魚郵件予套件維護者,通常宣稱帳號有安全問題或需要進行驗證,但郵件中連結是導至駭客偽造的NPM登入頁面,以誘導維護者於該頁面輸入憑證及多因素驗證碼。
取得憑證的駭客便登入維護者帳號,釋出植入惡意程式的新版本套件;一旦這些套件被應用在前端專案,並於瀏覽器中執行,惡意程式碼便會自動啟動,以偵測瀏覽器加密貨幣錢包,攔截應用與錢包的互動過程,並伺機竄改交易的目的地址,把收款方替換成駭客所控制的錢包位址。
值得注意的是,駭客似乎鎖定了熱門套件,受害清單上絕大多數都是基礎建設級的元件,包括每周下載量高達3.7億次、提供終端機文字樣式的ansi-styles,每周下載量超過3.5億次的除錯工具debug,或是每周下載量接近3億次的終端機字體上色工具chalk,其它還包括supports-color、strip-ansi、ansi-regex、wrap-ansi、color-convert、color-name、is-arrayish、slice-ansi、error-ex、color-string、simple-swizzle、supports-hyperlinks、has-ansi、chalk-template與backslash等。
Aikido的威脅情報系統是在9月8日偵測到NPM有異常新版本,之後開始出現套件被危害的討論,維護者才意識到自己被騙輸入憑證,並看到自己NPM後臺的版本發布紀錄出現了不是來自自己的新版本。
資安專家建議套件維護者應立即變更所有憑證,強制啟用多因素驗證,撤銷惡意版本並重新發布安全版本/公告,亦應通知下游專案或企業用戶。開發者則應暫停自動升級,展開安全檢測,並重建部署。
熱門新聞
2025-12-02
2025-12-01
2025-12-01
2025-12-01
2025-12-04
2025-11-30