| 竊資軟體 | npm | Typosquatting
資安業者Socket公布一批專門散布竊資軟體的NPM套件,這些套件同時針對Windows、macOS、Linux電腦而來,上架約4個月才被發現,主要原因在於,攻擊者透過4層混淆手法處理惡意酬載,使得相關檢測工具難以察覺異狀
2025-10-30
| npm | PhantomRaven | RDD | Typosquatting | AI幻覺 | Slopsquatting
惡意NPM套件攻擊PhantomRaven鎖定開發人員,意圖竊取NPM與GitHub憑證等CI/CD機密
惡意NPM套件埋藏惡意程式碼出現更隱密的手法!資安業者Koi Security揭露一起大規模攻擊行動PhantomRaven,並指出攻擊者將惡意內容存放於外部伺服器上的相依套件,使得大部分資安檢測工具難以察覺異狀
2025-10-30
| 供應鏈攻擊 | npm | Shai-Hulud | CrowdStrike | Nx | GitHub Actions
供應鏈攻擊兩天內急速擴散!逾500個NPM套件被植入具大量散播能力的蠕蟲
NPM套件供應鏈攻擊就連資安業者也無法倖免!資安業者Socket揭露大規模供應鏈攻擊Shai-Hulud,其中最引起關注的地方,在於資安業者CrowdStrike的帳號遭駭,導致該公司開發的套件受到影響
2025-09-18
| npm | 供應鏈攻擊 | qix | Josh Junon
總下載量每週達26億次的多款熱門NPM套件被植入惡意軟體,起因是開發者帳號遭奪取
又有NPM套件因開發者遭到網釣而面臨供應鏈攻擊的情況!本週套件開發人員Josh Junon(qix)證實因遭遇「NPM客服」網釣,導致旗下近20個套件被植入惡意軟體
2025-09-11
Aikido Security揭露駭客假冒NPM市集客戶支援部門,向眾多NPM套件開發者發送釣魚郵件以騙取憑證,並成功在至少18個熱門套件中植入惡意程式
2025-09-09
| Nx | npm | 供應鏈攻擊 | GitHub Actions | Nx Console
知名開源建置工具Nx遭植入惡意程式上架NPM,開發者憑證恐外洩
開源建置工具Nx惡意版本遭發布NPM,安裝即竊取憑證並上傳至GitHub儲存庫,還改寫終端機啟動檔,官方已下架並建議用戶檢查與清理環境
2025-08-28
熱門NPM套件遭到挾持,駭客上架新套件散布惡意程式,起因是維護者遭網釣導致Token外流
熱門NPM套件eslint-config-prettier傳出被植入木馬程式的情況,由於該套件每週被下載超過3千萬次,相當熱門,隨即引起開源軟體社群的注意。套件維護者JounQin出面說明,表示這起事故歹徒是透過網釣拿到他的Token造成
2025-07-25
| npm | React Native | GlueStack | RAT木馬程式
駭客盜用React Native、GlueStack維護團隊帳號,上架惡意NPM套件散布木馬
資安業者Aikido Security揭露專門針對React Native Aria生態系統的供應鏈攻擊事故,駭客在6月6日藉由外流的維護人員帳號,上架16個惡意套件,目的是散布RAT木馬程式
2025-06-10
| Google Calendar | npm | Unicode PUA
惡意NPM套件濫用Unicode字元、Google行事曆,隱匿攻擊意圖
可疑的NPM套件os-info-checker-es6被資安業者盯上、調查,結果發現,駭客經過一個多月的布局終於顯露意圖:他們濫用Google Calendar活動(Event),埋藏惡意程式的有效酬載
2025-05-19
| npm | 套件 | 供應鏈攻擊 | rand-user-agent | 遠端木馬
NPM套件rand-user-agent遭供應鏈攻擊,植入遠端木馬監控用戶系統
資安研究人員揭露,NPM套件rand-user-agent遭盜用發布權限上架惡意版本,植入遠端木馬,具備上傳檔案與執行系統指令的能力
2025-05-12
| npm | Telegram | SSH後門 | 供應鏈攻擊
惡意NPM套件偽裝Telegram函式庫,植入SSH後門攻擊Linux開發者
惡意NPM套件偽裝Telegram機器人開發函式庫,會在Linux開發環境植入持久性SSH後門,開發者單純移除套件無法清除被植入的SSH金鑰,系統仍存在風險
2025-04-23