一款在NPM平台每周下载量达220万次的轻量级JavaScript实用程序库“is”，其开发者于2025年7月19日遭遇钓鱼攻击，导致账户权限泄露。黑客随后在该库的3.3.1至5.0.0版本中植入了包含WebSocket后门的可执行代码，允许远程代码执行。此次攻击影响范围广泛，包括eslint-config-prettier、synckit等多个项目。同时，名为Scavanger的信息窃取程序也被发现，可能用于窃取浏览器中存储的加密货币钱包信息。受影响项目的开发者被敦促尽快检查和更新至安全版本，并提醒最终用户注意潜在风险。

🔑 **开发者账户被盗，后门代码植入JS库**：知名JS实用程序库“is”的开发者John Harband因遭遇钓鱼邮件，导致NPM账户权限被泄露。黑客趁机在其开发的项目中植入恶意后门程序，允许远程执行代码，受影响版本为v3.3.1至v5.0.0。

🌐 **攻击范围扩大，多款NPM项目受影响**：此次攻击并非孤立事件，eslint-config-prettier、synckit、@pkgr/core、napi-postinstall、got-fetch等多个NPM项目也发现了类似的后门程序，表明此次安全事件波及范围较广，许多开发者可能已无意中使用了被感染的项目。

🔒 **信息窃取程序出现，或针对加密货币钱包**：研究人员还发现了一个名为Scavanger的信息窃取程序，该程序专为Windows NT系统设计，能够窃取浏览器中的敏感信息。这引发了对潜在的加密货币钱包信息被盗的担忧，增加了安全风险的复杂性。

⚠️ **安全风险提醒与应对措施**：受影响项目的开发者和用户应立即检查所使用的版本，并尽快更新至清理后的安全版本。发布公告提醒最终用户注意防范，避免因使用带有后门的软件包而遭受损失，及时采取安全措施至关重要。

轻量级 JavaScript 实用程序库 is 是 NPM 平台上非常流行的项目，该项目每周下载次数高达 220 万次，但在 2025 年 7 月 19 日该项目开发者遭到钓鱼并泄露账户权限，随后黑客开始发布携带后门程序的版本用于远程执行代码。

该项目的开发者是 John Harband，开发者收到自称是 NPMJS 的邮件并通知要求对账户进行验证，而点击链接后跳转的钓鱼网站，开发者提供账户信息后黑客可以直接登录开发者的账号。

随后黑客修改版本并添加后门程序，分析发现这个后门程序会打开基于 WebSocket 的后门从而实现远程代码执行，受影响的主要是 is v3.3.1~5.0.0 版，恶意软件包发布后持续 6 个小时后被 NPM 删除。

在这次攻击中还有其他项目包括 eslint-config-prettier、synckit、@pkgr/core、napi-postinstall、got-fetch，这些被感染的项目都携带类似的后门程序，也就是中招的开发者并不少。

研究人员还发现名为 Scavanger 的信息窃取程序，该程序只要适用于 Windows NT，可以从浏览器中窃取敏感信息，或许这个信息窃取程序是为了窃取存储在浏览器中的加密货币钱包信息。

使用以上项目的开发者应当检查自己使用的版本，如果不慎使用携带后门程序的版本则应该尽快进行更新，将其替换为清理后的版本，以及发布公告提醒最终用户注意安全。

查看评论