知名JavaScript实用程序库“is”遭遇安全事件。开发者John Harband于2025年7月19日因钓鱼攻击泄露账户权限，黑客随即在is库的v3.3.1至v5.0.0版本中植入后门程序，允许远程执行代码。此次攻击波及eslint-config-prettier、synckit等多个项目，均携带类似后门。研究还发现名为Scavanger的信息窃取程序，可能用于窃取浏览器中的加密货币钱包信息。受影响用户应立即检查并更新至安全版本，以防范潜在风险。

📦 **“is”库遭钓鱼攻击致账户泄露：** 该库开发者John Harband因收到伪装成NPMJS的钓鱼邮件，点击链接并提供账户信息后，导致账户权限被黑客窃取，为后续的恶意行为打开了方便之门。

🚪 **后门程序可实现远程代码执行：** 黑客利用获取的权限，在“is”库的v3.3.1至v5.0.0版本中植入了基于WebSocket的后门程序，一旦被利用，即可实现对受感染系统的远程代码执行，带来严重的安全隐患。

🌐 **多款项目受牵连，安全风险扩大：** 此次攻击并非孤例，eslint-config-prettier、synckit、@pkgr/core、napi-postinstall、got-fetch等多个NPM项目也被发现携带类似的后门程序，表明此次供应链攻击的范围较为广泛，用户需提高警惕。

💰 **“Scavanger”信息窃取程序或针对加密货币：** 研究人员还发现了名为“Scavanger”的信息窃取程序，其主要目标是Windows NT系统，能够窃取浏览器中的敏感信息，特别指出其可能用于盗取加密货币钱包信息，进一步加剧了安全风险。

轻量级 JavaScript 实用程序库 is 是 NPM 平台上非常流行的项目，该项目每周下载次数高达 220 万次，但在 2025 年 7 月 19 日该项目开发者遭到钓鱼并泄露账户权限，随后黑客开始发布携带后门程序的版本用于远程执行代码。

该项目的开发者是 John Harband，开发者收到自称是 NPMJS 的邮件并通知要求对账户进行验证，而点击链接后跳转的钓鱼网站，开发者提供账户信息后黑客可以直接登录开发者的账号。

随后黑客修改版本并添加后门程序，分析发现这个后门程序会打开基于 WebSocket 的后门从而实现远程代码执行，受影响的主要是 is v3.3.1~5.0.0 版，恶意软件包发布后持续 6 个小时后被 NPM 删除。

在这次攻击中还有其他项目包括 eslint-config-prettier、synckit、@pkgr/core、napi-postinstall、got-fetch，这些被感染的项目都携带类似的后门程序，也就是中招的开发者并不少。

研究人员还发现名为 Scavanger 的信息窃取程序，该程序只要适用于 Windows NT，可以从浏览器中窃取敏感信息，或许这个信息窃取程序是为了窃取存储在浏览器中的加密货币钱包信息。

使用以上项目的开发者应当检查自己使用的版本，如果不慎使用携带后门程序的版本则应该尽快进行更新，将其替换为清理后的版本，以及发布公告提醒最终用户注意安全。