黑客通过钓鱼攻击劫持 npm 软件包:含 debug 等十余个高频库,周下载量超 26 亿次
网络安全机构Aikido Security披露了一起npm软件包库遭黑客攻击的案例。黑客通过钓鱼邮件入侵了知名开发者Josh Junon等人的账户,在至少18个高频下载包中注入恶意代码,这些受影响的包周下载总量达26亿次。
Josh Junon表示,他收到的钓鱼邮件来自support@npmjs.help,声称用户需要更新2FA认证,否则账户将在2025年9月10日被锁定,诱导开发者点击钓鱼链接并提交凭据。恶意网站上的登录表单会将输入信息回传至攻击者控制的地址。npm团队收到反馈后,已移除部分被篡改的软件包,包括周下载量达3.576亿次的debug包。
根据Aikido Security的技术分析,攻击者在接管维护权后修改了软件包的index.js文件,注入浏览器拦截器类代码,用于劫持网络流量与应用API。该恶意代码会监控并替换以太坊、比特币、Solana、Tron、莱特币和比特币现金等加密货币的收款地址,将交易重定向至攻击者钱包。这段代码通过挂钩fetch、XMLHttpRequest以及钱包API实现,能够在用户毫无察觉的情况下修改网页显示内容、篡改API调用,并改变应用认为正在签署的交易内容。
受影响的npm包包括chalk(2.99亿次/周)、ansi-styles(3.71亿次/周)、supports-color(2.87亿次/周)、strip-ansi(2.61亿次/周)、wrap-ansi(1.97亿次/周)和debug(3.576亿次/周)。安全专家Andrew MacPherson指出,并非所有用户都会受到影响,只有在美国东部时间上午9点至11点半之间全新安装了受影响包并生成新的package-lock.json文件的用户才会受到波及。
近月来,黑客频繁针对JavaScript库发起攻击,例如eslint-config-prettier包曾在7月遭受入侵,今年3月另有10个npm库被攻击。
热点推送
-
OpenAI、甲骨文、软银宣布在美新建五大 AI 数据中心,助力 Stargate 星门计划
当地时间周二,OpenAI、甲骨文和软银宣布将在美国新建五座AI数据中心,以推进总投资额高达5000亿美元的“星门”项目。今年1月,美国总统特朗普召集多家科技公司高管启动了这一由私营部门主导的重大基础设施计划,旨在加速AI相关建设
2025-09-24OpenAI,ChatGPT -
技嘉 X870E AORUS MASTER X3D ICE“超级冰雕”次旗舰主板上市,4999 元
技嘉在X870E AORUS PRO X3D ICE“电竞冰雕”主板上市后不久,又推出了X870E AORUS MASTER X3D ICE主板。这款“超级冰雕”定位次旗舰,是现阶段最高端的技嘉“X3D”系列主板,售价4999元
2025-09-24主板,技嘉 -
长虹星闪电视 2.0 亮相:GPMI 超级一线通接口、支持 45W 快充,支持星闪遥控器 / 手柄
9月23日,长虹与海思合作推出了长虹星闪电视2.0。这款电视融合了星闪技术和GPMI接口等标准,提升了互联和交互体验。 这款电视配备了星闪指向遥控器,支持隔空触控和精准指向技术,具有低时延和强抗干扰特性
2025-09-24GPMI,超级一线通接口,长虹星闪电视 -
小米汽车副总裁李肖爽回应“被网暴小米车主胜诉”:团队会坚定的与用户站在一起,全力做每一位车主的后盾
北京交通广播分享了一起“被网暴小米车主胜诉”的事件。张先生在购买小米汽车后发布“提车帖”记录自己的日常,但评论区出现了对品牌和他家人的攻击言论。同样遭受攻击的邓女士通过法律途径维权,最终法院判定攻击者需向其赔偿并道歉
2025-09-24小米汽车,李肖爽,网络暴力 -
苹果 iOS 26 正打磨“后台安全改进”:用户可选开启,能自动安装 iPhone 补丁
科技媒体MacWorld在挖掘iOS 26.1 Beta 1代码后,发现苹果正在开发一项名为“后台安全改进”的新功能。这项功能可以在用户不操作甚至不知情的情况下自动安装安全补丁,替代几乎已弃用的“快速安全响应”功能
2025-09-24苹果,iPhone -
快手可灵 2.5 Turbo 模型上线,较上代模型便宜近 30%
快手的可灵AI基座模型再次升级,推出了可灵2.5 Turbo模型。新模型在文本理解和响应方面有了显著提升,能够更深入地理解复杂的因果关系指令,并实现对创意表达的精细化控制
2025-09-24快手,可灵 -
vivo OriginOS 6 更新有望全球首秀,海外取代 Funtouch OS
vivo开发者大会定于10月10日举行,届时将正式发布OriginOS 6更新。OriginOS 6有望迎来全球首秀,取代vivo手机在海外使用的Funtouch OS
2025-09-24OriginOS,6,vivo系统 -
15.98 万元起“最便宜鸿蒙智行”:尚界 H5 上市 1 小时大定突破 1 万台,9 月底陆续开始交付
尚界H5车型于9月23日正式上市,售价15.98万元起。搭载华为ADS 4高阶版的配置售价为17.98万元起。 上汽集团宣布,尚界H5上市一小时内大定订单突破1万台,计划于9月底陆续开始交付
2025-09-24尚界H5 -
热门笔记应用 Goodnotes 7.0.0 版本发布:白板、AI、焕新 UI,国内上一代老用户可直接升级
9月23日,热门笔记应用Goodnotes正式推出7.0.0版本。新版本不再称为Goodnotes 7,而是直接称为Goodnotes。以下是更新的主要内容: 新版本引入了两种文档类型:白板和文本文档
2025-09-24Goodnotes,笔记软件,笔记应用 -
雷柏 VT 二代鼠标全系迎 Power+ 固件升级,750h 续航、≤0.225ms 无线按键速度创新高
9月22日,雷柏宣布即将推送Power+固件技术(代号:炎龙),适用于VT二代无线电竞鼠标的所有型号,包括标准版和MAX版。升级后,这些鼠标将获得多项性能提升
2025-09-24雷柏鼠标,鼠标固件 -
我国移动互联网用户数突破 16 亿,8 月户均接入流量 20.87GB
9 月 23 日,工信部官网消息显示,前 8 个月通信业运行平稳。电信业务量和收入保持增长,新型基础设施建设有序推进,5G、千兆宽带、物联网等用户规模持续扩大,移动互联网接入流量增长较快
2025-09-23移动互联网,5G,工信部 -
iQOO 15 手机开启预约,号称“挑战电竞性能新巅峰”
iQOO 15 电竞性能技术沟通会将于9月23日14:30举行,宣称将“跨代领先”,挑战电竞性能新巅峰。目前,该机型已在京东开启预约,商品页面还显示同期将上新一款iQOO Pad5e平板电脑
2025-09-23iQOO,15,iQOO -
乔思伯 ITX 机箱 T9 开售:实木底座 + 铝制面板 + 可调中框,799 元
乔思伯旗下的T9机箱已在京东开售,这款A4 ITX产品采用左右分仓设计,显卡与主板背靠背安装,整体体积约为11.3L。中框可在三种不同的安装位置间调节,售价为799元
2025-09-23机箱 -
Meta:我们“很希望”能在雷朋眼镜上使用 iMessage,但苹果不允许
苹果的封闭生态策略不仅给监管机构和小型开发者带来挑战,也对科技巨头造成困扰
2025-09-23Meta,智能眼镜,苹果 -
小马智行与新加坡最大交通运营服务商康福德高合作,在当地部署自动驾驶出行服务
自动驾驶公司小马智行宣布进入新加坡市场,与当地最大交通运营服务商康福德高合作,部署自动驾驶车辆及相关服务。双方计划首先在新加坡榜鹅地区推出自动驾驶出行服务,该服务将在获得监管批准后正式启动
2025-09-23小马智行,自动驾驶 -
DeepSeek 线上模型升级至 V3.1-Terminus 版本,改进语言一致性及 Agent 能力
9月22日晚间,DeepSeek宣布其线上模型完成升级,版本号为DeepSeek-V3.1-Terminus。该版本包含思考模式和非思考模式两个版本,上下文长度均为128k,用户可以在线体验
2025-09-23DeepSeek -
系统比人还老几十岁:英国数十家银行仍在运行上世纪 60 年代的代码
英国不少银行至今仍在运行上世纪60、70年代的老旧代码,能够理解这些代码的员工寥寥无几。Baringa的一项调查显示,在接受调研的200家英国银行中,16%依赖于60年代的软件,近40%仍在维护70年代的代码
2025-09-23Cobol,软件,操作系统 -
迪士尼“星战”科幻电影《曼达洛人和格洛古》首曝中字预告,2026 年 5 月 22 日北美上映
迪士尼“星战”科幻电影《曼达洛人和格洛古》首支预告已发布,影片将于2026年全球献映,并于同年5月22日在北美上映
2025-09-23迪士尼,星战,曼达洛人和格洛古 -
东风汽车 & 华为联合创新实验室正式揭牌,重点围绕车载软件研发平台、辅助智能驾驶等方面加强合作
9月19日,在华为全联接大会2025的制造与大企业全球峰会汽车行业分论坛上,东风汽车与华为联合创新实验室正式揭牌。这是继今年5月23日双方签署战略合作协议后的又一个重要里程碑
2025-09-23东风汽车,联合创新实验室,华为 -
苹果 iOS 26 图乐园将添新引擎:接入更多模型,打造 AI 生图“聚合器”
9月23日,科技媒体9to5Mac发布消息称,在macOS Tahoe 26.1、iPadOS 26.1和iOS 26.1首个Beta开发者测试版中,苹果为图乐园(Image Playground)引入了新的框架支持
2025-09-23Siri,AI,图乐园 -
罗技推出灵砚系列 K868 三模机械键盘:有线 1KHz 回报率、晶石轴,399 元
罗技已在京东上架了灵砚系列 K868 三模客制化机械键盘,售价为 399 元。这款键盘提供有线 1KHz 回报率,并有黑白两种颜色可选
2025-09-23罗技,键盘 -
谷歌 DeepMind 更新前沿安全框架,应对模型“阻止自己被人类关闭”等风险
谷歌 DeepMind 更新了其核心 AI 安全文件“前沿安全框架”,新增了对“前沿模型可能阻止人类关闭或修改自己”这一风险的考量。一些新 AI 模型在测试中已展现出制定计划甚至使用欺骗手段达成目标的能力
2025-09-23谷歌,deepmind,人工智能 -
今日秋分:云清月秀,罗衫怯怯风露凉
今天是农历二十四节气中的秋分,这一天昼夜再次平分,阴阳相半,天气舒适宜人。秋分时阳光几乎直射赤道,之后北半球开始昼短夜长,冷空气逐渐活跃,需注意衣物增减。此时节,枫叶红似火,稻谷遍地黄,丹桂花飘香,蟹肥菊正黄,处处秋色迷人
2025-09-23二十四节气,秋分,秋天 -
又一欧洲车企选择放缓电动化,宾利确认未来仍将推出燃油新车
据外媒Autocar报道,宾利计划推出纯燃油版的添越、欧陆GT和飞驰继任车型。这标志着宾利“只有电动车”战略的逆转,其背后原因是保时捷上周的重大调整。根据Beyond100战略,宾利原计划到2035年全面淘汰燃油发动机
2025-09-23宾利,电动汽车 -
苹果 iOS/iPadOS 26.1 开发者预览版 Beta 发布
苹果于9月23日向iPhone和iPad用户推送了iOS/iPadOS 26.1开发者预览版Beta更新,内部版本号为23B5044l。这次更新距离上次发布Beta/RC版本间隔了16天
2025-09-23iOS,iPadOS -
智能床垫新国标公布,心率呼吸率测量误差需达标
市场监管总局(国家标准委)批准发布了《智能床垫》国家标准,该标准将于2026年3月1日正式实施。新标准为智能床垫产品的智能化、功能性及安全性设立了统一标尺
2025-09-22智能床垫 -
AOC 推出“AG326UZD”31.5 英寸显示器:4K 240Hz QD-OLED、DP 2.1 + 双扬,6499 元
AOC 已在京东上架了一款型号为 AG326UZD 的 31.5 英寸显示器,定价 6499 元。这款显示器主打 4K 240Hz QD-OLED 面板,配备双 8W 扬声器,支持原生 10-Bit 色彩和 DP2.1 接口
2025-09-22AOC,显示器 -
消息称 OPPO 首款轻智能手表即将发布,厚度不足 9mm 为目前最薄圆表
据博主@数码闲聊站透露,OPPO即将发布其首款轻智能手表,该手表厚度小于9毫米,可能是目前市面上最薄的圆形智能手表。新系统整体流畅度表现良好,接近手机操作系统水平,健康功能方面也有亮点
2025-09-22OPPO,智能手表 -
12.28 万元起,奇瑞 iCAR 全新超级 V23“方盒子”SUV 上市
奇瑞旗下iCAR全新超级V23“方盒子”SUV在发布会中正式上市,起售价为12.28万元。具体车型及价格如下:501巅峰性能版(V23 S)售价15.48万元;550超级运动版售价13.88万元;401超级运动版售价12.28万元
2025-09-22宁德时代,奇瑞,iCAR -
一加 15 真机曝光,设计风格延续一加 13T
一加 15 的真机照在 2025 和平精英职业联赛 PEL 夏季赛总决赛上亮相,并与历届和平精英冠军合影。从图片中可以看出,一加 15 背面采用左上角矩阵 Deco,设计风格延续了一加 13T,但不再与哈苏联名
2025-09-22一加15
