Malicious npm Package react-refresh-update Drops Cross-Platform Trojan on Developer Machines
嗯,用户让我帮忙总结一篇文章的内容,控制在一百个字以内,而且不需要特定的开头。首先,我需要理解文章的大意。文章讲的是一个恶意的npm包冒充react-refresh,每周下载量高达4200万,几乎每个React构建工具链都在用。 接下来,这个恶意包只修改了一个文件,其他部分正常工作。安装时会连接到Lazarus集团的C2域名,并投放针对Windows、Linux和macOS的特洛伊木马。唯一的线索是版本号声称是2.0.5,而真实包从未发布过2.x版本。 用户的要求是用中文总结,不超过100字。我需要确保信息准确且简洁。可能的结构是:恶意包冒充react-refresh,下载量大,安装时投放特洛伊木马,版本号异常。 然后检查字数是否符合要求。确保没有使用“文章内容总结”之类的开头。最后,确保语言流畅自然。 </think> 恶意npm包冒充react-refresh,每周下载量达4200万次。安装时连接C2域名并投放特洛伊木马。唯一线索为版本号异常声称2.0.5。 2026-3-16 16:0:26 Author: www.reddit.com(查看原文) 阅读量:1 收藏
嗯,用户让我帮忙总结一篇文章的内容,控制在一百个字以内,而且不需要特定的开头。首先,我需要理解文章的大意。文章讲的是一个恶意的npm包冒充react-refresh,每周下载量高达4200万,几乎每个React构建工具链都在用。 接下来,这个恶意包只修改了一个文件,其他部分正常工作。安装时会连接到Lazarus集团的C2域名,并投放针对Windows、Linux和macOS的特洛伊木马。唯一的线索是版本号声称是2.0.5,而真实包从未发布过2.x版本。 用户的要求是用中文总结,不超过100字。我需要确保信息准确且简洁。可能的结构是:恶意包冒充react-refresh,下载量大,安装时投放特洛伊木马,版本号异常。 然后检查字数是否符合要求。确保没有使用“文章内容总结”之类的开头。最后,确保语言流畅自然。 </think> 恶意npm包冒充react-refresh,每周下载量达4200万次。安装时连接C2域名并投放特洛伊木马。唯一线索为版本号异常声称2.0.5。 2026-3-16 16:0:26 Author: www.reddit.com(查看原文) 阅读量:1 收藏
Found a malicious npm package impersonating react-refresh - 42 million weekly downloads, used in virtually every React build toolchain.
One file modified. Rest of the package works normally. On install it reaches a C2 domain linked to Lazarus Group and drops a trojan, platform-specific for Windows, Linux, and macOS.
The only visible tell: version number claims 2.0.5. The real package has never shipped a 2.x release.
Go through the analysis and complete breakdown.
文章来源: https://www.reddit.com/r/netsecstudents/comments/1rvdhfw/malicious_npm_package_reactrefreshupdate_drops/
如有侵权请联系:admin#unsafe.sh
如有侵权请联系:admin#unsafe.sh