原帖: https://www.aikido.dev/blog/npm-debug-and-chalk-packages-compromised
2025 年 9 月 8 日,Aikido 安全团队通过其情报系统发现,npm 上 18 个流行的软件包被推送了包含恶意代码的新版本。这些软件包每周下载量超过 20 亿次,包括 backslash 、chalk-template 、supports-hyperlinks 等。
被投毒的软件作者出来现身道歉了:"我犯了一个错误,像往常一样(因为当时我在用手机)没有直接访问网站,而是点击了链接。"
 |
1
moneydou Sep 9, 2025
无孔不入....
|
 |
2
zhanying Sep 9, 2025 via Android
那这个原贴链接我该不该点()
|
 |
3
stinkytofux Sep 9, 2025  5
如果 npm 包管理的安全机制靠开发者不用乱点链接的话 ,我只能说🌶︎🐔
|
 |
4
shijingshijing Sep 9, 2025
前端真热闹,不过这样也好,总有事情做
|
 |
5
proxytoworld Sep 9, 2025
这和点链接有什么关系吗,这是供应链投毒,别标题党
|
 |
6
isbase PRO 你用的网站如果引用了这些被投毒的 npm 包,那么这个网站的用户都会收到影响。
|
 |
7
chenliangngng Sep 9, 2025
直接访问和点链接有什么区别吗,就是表面上是链接 a ,点击后跳到 b 这个一意思吗?
|
 |
8
9RWBdC758updU311 Sep 9, 2025 via iPhone
唉,开源
|
 |
9
TracyMagic Sep 9, 2025 3
前端老哥是真的穷,黑客忙活了半天就赚了 66u 🐶
|
 |
10
AV1 Sep 9, 2025
你没说重点呀,重点是包维护者被钓鱼邮件欺骗了。
关键内容: The maintainer shared that he was compromised by the use of phishing, using this email coming from support [at] npmjs [dot] help |
 |
11
lichdkimba Sep 9, 2025
@proxytoworld 据说是包的作者点了链接
|
 |
12
naver1 Sep 9, 2025 2
这就跟央视宣传别随便扫二维码一样,跟二维码有什么关系啊。。。
|
 |
13
hcwhan Sep 9, 2025
内容说了 有 npm 包开发者 点击了钓鱼邮件里面假的 npm 网址 在假的 npm 网站进行登录 导致账号被盗了
|
 |
14
bearbest PRO 这跟点不点连接几乎毫无关系,你点一万个连接,不在打开的网页里输入敏感信息/下载可疑软件都不会有事,是被钓鱼了
|
 |
16
iorilu Sep 10, 2025
都是同一个人开发的包吗
|
Select Language