FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

轻量级 JavaScript 实用工具库 "is" 是 NPM 平台上的热门项目，每周下载量超过 220 万次。然而在 2025 年 7 月 19 日，该库开发者遭遇钓鱼攻击导致账户凭证泄露，攻击者借此发布了包含远程代码执行后门的恶意版本。

钓鱼攻击入侵开发者账户

据报告，项目维护者 John Harband 收到了一封伪装成 NPMJS 官方的电子邮件，要求进行账户验证。点击邮件内嵌链接后，他被重定向至钓鱼网站。在不知情的情况下提交凭证后，攻击者直接获取了其 NPM 账户权限。

恶意代码注入与传播

攻击者随后修改软件包并植入后门。分析显示，该恶意负载建立了基于 WebSocket 的通信通道以实现远程代码执行。受影响版本包括 is v3.3.1 至 v5.0.0。这些恶意软件包在 NPM 官方下架前已存活约六小时。

此次事件不仅涉及单个库。其他项目如 eslint-config-prettier、synckit、@pkgr/core、napi-postinstall 和 got-fetch 同样遭到入侵，均被植入类似的远程访问负载——这表明多名开发者已成为攻击目标。

新型信息窃取恶意软件曝光

研究人员还发现了一款名为 Scavanger 的信息窃取恶意软件，该软件似乎专门针对 Windows NT 系统开发。它能从浏览器中提取敏感数据，很可能是为了窃取存储的加密货币钱包凭证。

安全建议

使用上述任一软件包的开发者应立即采取以下措施：

• 审计项目依赖项
• 验证版本完整性
• 立即升级至净化后的发布版本

项目维护者还应发布公开安全通告，提醒终端用户并降低潜在风险。

参考来源：

Popular ‘is’ JavaScript Library & Others Compromised in npm Supply Chain Attack

免责声明

1.一般免责声明：本文所提供的技术信息仅供参考，不构成任何专业建议。读者应根据自身情况谨慎使用且应遵守《中华人民共和国网络安全法》，作者及发布平台不对因使用本文信息而导致的任何直接或间接责任或损失负责。

2. 适用性声明：文中技术内容可能不适用于所有情况或系统，在实际应用前请充分测试和评估。若因使用不当造成的任何问题，相关方不承担责任。

3. 更新声明：技术发展迅速，文章内容可能存在滞后性。读者需自行判断信息的时效性，因依据过时内容产生的后果，作者及发布平台不承担责任。

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）