黑客近期成功入侵了Toptal的GitHub组织账户,并利用权限在npm平台上发布了10个带有恶意代码的软件包。这些包含有窃取数据和销毁用户系统的代码,预估已被下载约5000次,受害用户主要为开发者。据悉,攻击者于7月20日获得Toptal GitHub的访问权后,立即公开了原本私有的73个代码库,并在Picasso等开发工具的源码中植入恶意脚本,通过npm发布为最新版本。这些恶意包的“preinstall”脚本会窃取并上传受害者的GitHub认证令牌,“postinstall”脚本则试图在Linux和Windows系统上删除数据,带来严重风险。
受影响的npm包包括@toptal/picasso-tailwind、@toptal/picasso-charts等。安全公司Socket指出,Toptal已于7月23日下架问题包并恢复安全版本,但截至目前尚未对外发出安全提醒。黑客具体入侵方式目前尚未确认,疑似与钓鱼邮件或内部威胁有关。专家建议如有安装相关包应立即回滚到稳定旧版本,以避免数据和账号损失。