据BleepingComputer报道,安全研究人员发现,有黑客成功劫持了每周累计下载量高达20亿次的多个npm开源软件包,这些软件包广泛被世界各地开发者和企业依赖。专家警告,此次事件属于典型的供应链攻击,攻击者在获取部分流行包的权限后篡改代码,进而可能影响数以百万计的下游项目。
此次事件进一步暴露了现代软件供应链的脆弱性。npm是全球主流的JavaScript包管理平台,任何热门软件包被篡改,都可能导致严重后果,包括敏感信息泄露、恶意代码执行等。安全社区呼吁开发者提高依赖审核,保障自身与用户安全。