Color NPM Package Compromised
8 months ago
- #phishing
- #npm
- #security
- 2025年9月8日,Josh Junon的npm账户(qix)遭入侵,导致其软件包被发布后门版本。
- 攻击始于钓鱼邮件'npmsj.help',诱骗Josh重置了双重验证(2FA)。
- 恶意载荷仅针对浏览器环境生效,需特定条件才会造成危害,不影响服务器或开发者机器。
- 受影响的包包括周下载量约3200万次的'color',凸显攻击规模之大。
- npm官方响应迟缓,Josh仍无法访问账户,部分软件包后门仍未清除。
- 最新进展请关注Kevin Beaumont在Mastodon平台的专题讨论。