#安全资讯 周下载量超过 20 亿次的 18 个 NPM 软件包被黑客投毒，开发者被钓鱼后泄露关键凭证，随后黑客发起供应链攻击。黑客的本质目的是利用恶意代码篡改浏览器事务，从而窃取加密货币，例如当用户发送 ETH 给 A 地址，虽然浏览器仍然显示 A 地址，但实际上加密货币会被发送到黑客控制的 B 地址。查看全文：https://ourl.co/110587

基于 NPM 生态系统的供应链攻击正在变得越来越频繁、越来越严重，最新出现的供应链攻击涉及至少 18 个流行的代码包，这些代码包每周的下载次数超过 20 亿次。

攻击源头是开发者 & 维护者 Josh Junon 遭到钓鱼，黑客伪造类似 NPM 官方的通知和钓鱼网站要求其启用 2FA 验证，但开发者并未严格检查网址就提供了凭证导致自己的账户权限泄露。

随后黑客利用开发者权限向至少 18 个流行的 JavaScript 代码包中添加恶意代码，这些代码包则会被下游应用使用，当检测到某些终端环境时恶意代码就会启动。

黑客的目标是窃取加密货币：

此次供应链攻击的真正目的是窃取加密货币，黑客添加的恶意代码可以在浏览器中悄悄拦截加密货币活动，包括但不限于操纵钱包交互和重写支付目的地等。

也就是即便用户已经在浏览器上检查发送钱包地址是正确无误的，但实际上还是会发送到黑客控制的钱包账户，因为实际的钱包地址已经被篡改只是用户无法直接在网页上看到变化。

研究人员称这种恶意软件本质上就是基于浏览器的拦截器，可以拦截网络流量和应用程序 API，其危害在于拦截器可以在多个层面运行，例如篡改网址显示的内容、篡改 API 调用、操作应用程序正在签名的内容等，即便界面看起来正确，底层事务也可以在后台进行重定向。

开发者道歉并清理受损的软件包：

接到研究人员的通知后 Josh Junon 很快意识到自己遭遇到网络钓鱼，但这次攻击活动并不只是针对 Josh Junon，这名开发者收到的钓鱼邮件是黑客更大规模攻击活动的一部分，应该还有大量开发者也收到类似的钓鱼邮件。

Josh Junon 发布道歉声明承认自己遭到钓鱼，随后开发者开始清理受损的软件包，此次攻击事件被发现的还算是及时，但即便如此也有无数网站受影响，不过不知道具体有多少用户的加密货币被窃取。

下面是受影响的软件包：

– [email protected]

– [email protected] (appears to have been yanked as of 8 Sep 18:09 CEST)

– [email protected]

– [email protected]

– [email protected]

– [email protected]

– [email protected]

– [email protected]

– [email protected]

– [email protected]

– [email protected]

– [email protected]

– [email protected]

– [email protected]

– [email protected]

– [email protected]

– [email protected]

– [email protected]