热门JavaScript库“is“等软件包遭npm供应链攻击植入后门
轻量级 JavaScript 实用工具库 "is" 是 NPM 平台上的热门项目,每周下载量超过 220 万次。然而在 2025 年 7 月 19 日,该库开发者遭遇钓鱼攻击导致账户凭证泄露,攻击者借此发布了包含远程代码执行后门的恶意版本。
钓鱼攻击入侵开发者账户
据报告,项目维护者 John Harband 收到了一封伪装成 NPMJS 官方的电子邮件,要求进行账户验证。点击邮件内嵌链接后,他被重定向至钓鱼网站。在不知情的情况下提交凭证后,攻击者直接获取了其 NPM 账户权限。
恶意代码注入与传播
攻击者随后修改软件包并植入后门。分析显示,该恶意负载建立了基于 WebSocket 的通信通道以实现远程代码执行。受影响版本包括 is v3.3.1 至 v5.0.0。这些恶意软件包在 NPM 官方下架前已存活约六小时。
此次事件不仅涉及单个库。其他项目如 eslint-config-prettier、synckit、@pkgr/core、napi-postinstall 和 got-fetch 同样遭到入侵,均被植入类似的远程访问负载——这表明多名开发者已成为攻击目标。
新型信息窃取恶意软件曝光
研究人员还发现了一款名为 Scavanger 的信息窃取恶意软件,该软件似乎专门针对 Windows NT 系统开发。它能从浏览器中提取敏感数据,很可能是为了窃取存储的加密货币钱包凭证。
安全建议
使用上述任一软件包的开发者应立即采取以下措施:
- 审计项目依赖项
- 验证版本完整性
- 立即升级至净化后的发布版本
项目维护者还应发布公开安全通告,提醒终端用户并降低潜在风险。