26亿次周下载量的主流NPM包一夜沦陷,开发者账户被黑客钓鱼攻击
黑客通过伪装成官方通知的钓鱼邮件,成功入侵知名开发者账户,对至少 18 个高频下载的核心软件包动了手脚,并植入恶意代码。钓鱼攻击和被注入的恶意软件都显示出,网络浏览器已经成为一个巨大的攻击面,容易被用于窃取凭证、篡改流量以及突破网络防护。其危险之处在于,它能在多个层面同时发挥作用:篡改网页上显示的内容、干扰 API 调用、操纵应用程序认为用户正在签署的交易。公布的时间线显示,9 月 8 日 13:16(UTC)左右,其情报系统发现一批推送到 npm 的软件包存在可疑行为,疑似被植入恶意代码。
