近日,npm开源包管理平台遭遇大量恶意软件包注入,这些包被用于窃取开发者的敏感凭证信息。据报道,本轮攻击被归类为“PhantomRaven”行动,黑客通过上传成百上千个具有类似命名风格的包,目的是让不知情的开发者误将其集成至项目中,从而触发信息窃取。
这些恶意包主要针对Node.js生态系统,并能在Windows、Linux和macOS等多种操作系统下工作。一旦被下载使用,包中的代码能够收集token、环境变量、API密钥等敏感数据,并传送到攻击者的远程服务器。
安全专家提醒,开发者在引入第三方包时应提高警惕,仔细核查包来源及内容,尽量避免直接使用刚刚发布的新包,及时关注npm官方安全公告,以防项目受到供应链攻击危害。