网络安全机构 Aikido Security 披露了一起 npm 软件包库遭黑客攻击的案例。

　　据介绍，黑客通过钓鱼邮件入侵知名开发者 Josh Junon等人的账户，在至少 18 个高频下载包中注入恶意代码，这 18 个受影响的包周下载总量达 26 亿次。

　　qix 表示，他收到的钓鱼邮件来自 实现，能够在用户毫无察觉的情况下修改网页显示内容、篡改 API 调用，并改变应用认为正在签署的交易内容。

　　查询获悉，受影响的 npm 包括：chalk、ansi-styles、supports-color、strip-ansi、wrap-ansi、debug等。

　　安全专家 Andrew MacPherson 表示，并非所有用户都会受到波及，受影响需满足特定条件，例如在美国东部时间上午 9 点至 11 点半之间全新安装了受影响包，并生成了新的 package-lock.json 文件。

　　近月来，黑客频繁针对 JavaScript 库发起攻击，例如 7 月 eslint-config-prettier 包也曾遭入侵，今年 3 月另有 10 个 npm 库被攻击。