详细内容或原文请订阅后点击阅览
供应链攻击目标NPM,每周下载 +20亿美元下载
在供应链攻击中,多个受欢迎的NPM软件包因供应链攻击而遭到损害,因为维护者以针对2FA凭据的网络钓鱼电子邮件而跌落。供应链攻击损害了多个受欢迎的NPM软件包,每周下载2B,因为一个维护者跌落了一个模仿NPM的网络钓鱼电子邮件,以2FA凭据为目标。威胁演员将乔什·朱恩(Josh Junon)(qix)的目标定位为[…]
来源:Security Affairs _恶意软件供应链攻击目标NPM,每周下载 +20亿美元下载
Pierluigi Paganini 2025年9月9日在供应链攻击中,多个受欢迎的NPM软件包因供应链攻击而遭到损害,因为维护者以针对2FA凭据的网络钓鱼电子邮件而跌落。
供应链攻击损害了多个受欢迎的NPM软件包,每周下载2B,因为维护者跌落了一个模仿NPM的网络钓鱼电子邮件,以2FA凭证为目标。
威胁性演员以乔什·朱恩(Josh Junon)(QIX)的身份通过AITM攻击偷走了他的NPM证书和2FA令牌。一旦获得了凭据,攻击者就发布了软件包版本的软件包版本。
qix攻击者发送给Junon的网络钓鱼消息,该消息模仿了NPM(“支持@npmjs [。] help”),敦促他们在2025年9月10日之前单击嵌入了消息中的链接,以更新其两因素身份验证(2FA)凭据。
“作为我们对帐户安全性的持续承诺的一部分,我们要求所有用户更新其两因素身份验证(2FA)凭据。我们的记录表明,自您上次2FA更新以来已经超过12个月了。
“为了维持帐户的安全性和完整性,我们请您尽早完成此更新。请注意,具有过时的2FA凭据的帐户将从2025年9月10日开始暂时锁定,以防止未经授权的访问。”
收件人被重定向到网络钓鱼页面,旨在提示他们输入其用户名,密码和两因素身份验证(2FA)令牌。
攻击影响了以下20个包裹,每周下载超过20亿:
Junon确认了这一事件,并为其影响道歉。
“是的,我已经被淘汰了。2FA重置电子邮件,看上去很合法。只有NPM受影响。我已将电子邮件发送给 @npmjs.bsky.social,以查看我是否可以再次访问。对不起,对不起,我应该更加注意。我应该更加注意。不喜欢我;有一个压力很大。朱恩写道。
说