摘要:9 月 8 日,Node.js 生态链遭遇前所未有的冲击。资深 npm 维护者Qix(Josh Junon)因一封钓鱼邮件泄露了账户,攻击者趁机在多个热门包里植入了恶意代码。这次事件迅速引爆社区,成为开源史上下载量最大的供应链攻击之一。
9 月 8 日,Node.js 生态链遭遇前所未有的冲击。资深 npm 维护者 Qix(Josh Junon) 因一封钓鱼邮件泄露了账户,攻击者趁机在多个热门包里植入了恶意代码。这次事件迅速引爆社区,成为开源史上下载量最大的供应链攻击之一。
这次攻击的规模可以用“骇人”来形容:
影响范围:超过 20 个高频使用的 npm 包被攻陷;下载量:受影响的包累计每周下载量超过 20 亿次;生态牵连:这些库往往是框架和工具链的底层依赖,几乎波及所有前端项目;传播速度:恶意版本发布仅两小时,就已经渗透进 10% 的云环境。整个攻击链条非常典型:
账户被盗 —— 攻击者通过伪装成 npm 官方的邮件,诱骗 Qix 输入凭证,从而拿下账号;恶意发布 —— 入侵后立即在 debug、chalk 等包中推送新版本;快速扩散 —— 由于这些库几乎是“标配”,恶意代码在短时间内被广泛下载;紧急响应 —— 两小时后维护者确认异常,社区合力将问题版本移除。核心工具库:
chalk@5.6.1 —— 终端字符串样式处理debug@4.4.2 —— 常用调试工具supports-color@10.2.1 —— 颜色支持检测依赖相关:
ansi-styles@6.2.2strip-ansi@7.1.1wrap-ansi@9.0.1color-convert@3.1.1slice-ansi@7.1.1数据库生态:
@duckdb/node-api@1.3.3@duckdb/duckdb-wasm@1.29.2这些包几乎都是前端和 Node.js 项目常见的依赖,影响范围之广可想而知。
攻击者植入的代码并不是为了“搞破坏”,而是有着明确的经济目标 —— 盗取加密货币钱包资产:
先检查运行环境(确认在浏览器里执行);Hook 常用接口(fetch、XMLHttpRequest、window.ethereum.request);在用户发起加密交易时,偷偷替换目标地址为攻击者的钱包地址;使用 Levenshtein 算法 让替换后的地址“看起来差不多”,降低被发现的几率。换句话说,用户以为自己在给朋友转账,实际上钱已经流向了攻击者。
如果你的项目依赖这些包,建议立刻做以下检查和防护:
避免升级到受损版本:确认当前使用的依赖版本是否处于受影响范围;锁定依赖版本:在 package-lock.json 或 pnpm-lock.yaml 中固定已知安全的版本,防止自动升级;审计近期安装:排查过去几天安装或升级过的依赖,检查是否存在可疑文件或异常行为;建立防护习惯:考虑启用依赖扫描工具,第一时间发现风险。这起事件再次敲响警钟:开源生态的便利背后,供应链安全始终是潜在的“软肋”。前端开发者或许不是黑客的直接目标,但却可能在不知不觉中成为受害者。
锁定依赖、保持警惕、善用工具,才是日常开发中最可靠的自保之道。
来源:不秃头程序员
