黑客通过钓鱼攻击劫持npm软件包: 含chalk、debug等十余个高频库

据介绍，黑客通过钓鱼邮件入侵知名开发者JoshJunon（用户名qix）等人的账户，在至少18个高频下载包中注入恶意代码，这18个受影响的包周下载总量达26亿次。

据称，恶意网站上的登录表单会将输入信息回传至攻击者控制的地址。npm团队收到反馈后，已移除部分被篡改的软件包，包括周下载量达3.576亿次的debug包。

据AikidoSecurity技术分析，攻击者在接管维护权后修改了软件包的index.js文件，注入浏览器拦截器类代码，用于劫持网络流量与应用API。

该恶意代码会监控并替换以太坊、比特币、Solana、Tron、莱特币和比特币现金等加密货币的收款地址，将交易重定向至攻击者钱包。

研究人员指出，这段代码通过挂钩fetch、XMLHttpRequest以及钱包API（如window.ethereum、SolanaAPI等）实现，能够在用户毫无察觉的情况下修改网页显示内容、篡改API调用，并改变应用认为正在签署的交易内容。

IT之家查询获悉，受影响的npm包括：chalk（2.99亿次/周）、ansi-styles（3.71亿次/周）、supports-color（2.87亿次/周）、strip-ansi（2.61亿次/周）、wrap-ansi（1.97亿次/周）、debug（3.576亿次/周）等。

安全专家AndrewMacPherson表示，并非所有用户都会受到波及，受影响需满足特定条件，例如在美国东部时间上午9点至11点半之间全新安装了受影响包，并生成了新的package-lock.json文件。

近月来，黑客频繁针对JavaScript库发起攻击，例如7月eslint-config-prettier包（周下载3000万次）也曾遭入侵，今年3月另有10个npm库被攻击。