9 月 8 日,攻击者通过钓鱼邮件成功入侵开发者 Josh Junon 的 npm 账户,并在其维护的 color 等热门包中植入恶意代码。color 包每周下载量达 3200 万次,此次攻击影响范围巨大。

攻击者使用伪造的 2FA 重置邮件进行钓鱼,邮件来自 3 天前注册的域名 npmsj.help。恶意代码主要针对浏览器环境,通过劫持 fetch 和 XMLHttpRequest 请求,将比特币、以太坊等加密货币地址替换为攻击者控制的地址,并监控 MetaMask 等钱包的交易操作。

截至发稿时,npm 团队正在处理移除恶意包,但响应速度受到质疑。

fasterthanli.me