原帖: https://www.aikido.dev/blog/npm-debug-and-chalk-packages-compromised
2025 年 9 月 8 日,Aikido 安全团队通过其情报系统发现,npm 上 18 个流行的软件包被推送了包含恶意代码的新版本。这些软件包每周下载量超过 20 亿次,包括 backslash 、chalk-template 、supports-hyperlinks 等。
被投毒的软件作者出来现身道歉了:"我犯了一个错误,像往常一样(因为当时我在用手机)没有直接访问网站,而是点击了链接。"
 |
1
moneydou 23 小时 39 分钟前
无孔不入....
|
 |
2
zhanying 23 小时 17 分钟前 via Android
那这个原贴链接我该不该点()
|
 |
3
stinkytofux 23 小时 15 分钟前  5
如果 npm 包管理的安全机制靠开发者不用乱点链接的话 ,我只能说🌶︎🐔
|
 |
4
shijingshijing 23 小时 12 分钟前
前端真热闹,不过这样也好,总有事情做
|
 |
5
proxytoworld 23 小时 10 分钟前
这和点链接有什么关系吗,这是供应链投毒,别标题党
|
 |
6
isbase 23 小时 3 分钟前
你用的网站如果引用了这些被投毒的 npm 包,那么这个网站的用户都会收到影响。
|
 |
7
chenliangngng 23 小时 0 分钟前
直接访问和点链接有什么区别吗,就是表面上是链接 a ,点击后跳到 b 这个一意思吗?
|
 |
8
lhwj1988 22 小时 58 分钟前 via iPhone
唉,开源
|
 |
9
TracyMagic 22 小时 56 分钟前 2
前端老哥是真的穷,黑客忙活了半天就赚了 66u 🐶
|
 |
10
DOLLOR 22 小时 18 分钟前
你没说重点呀,重点是包维护者被钓鱼邮件欺骗了。
关键内容: The maintainer shared that he was compromised by the use of phishing, using this email coming from support [at] npmjs [dot] help |
 |
11
lichdkimba 22 小时 6 分钟前
@proxytoworld 据说是包的作者点了链接
|
 |
12
DT27 21 小时 56 分钟前 2
这就跟央视宣传别随便扫二维码一样,跟二维码有什么关系啊。。。
|
 |
13
hcwhan 21 小时 54 分钟前
内容说了 有 npm 包开发者 点击了钓鱼邮件里面假的 npm 网址 在假的 npm 网站进行登录 导致账号被盗了
|
 |
14
bearbest 21 小时 53 分钟前
这跟点不点连接几乎毫无关系,你点一万个连接,不在打开的网页里输入敏感信息/下载可疑软件都不会有事,是被钓鱼了
|
Select Language