这是一个创建于 33 天前的主题,其中的信息可能已经有所发展或是发生改变。
原帖: https://www.aikido.dev/blog/npm-debug-and-chalk-packages-compromised
2025 年 9 月 8 日,Aikido 安全团队通过其情报系统发现,npm 上 18 个流行的软件包被推送了包含恶意代码的新版本。这些软件包每周下载量超过 20 亿次,包括 backslash 、chalk-template 、supports-hyperlinks 等。
被投毒的软件作者出来现身道歉了:"我犯了一个错误,像往常一样(因为当时我在用手机)没有直接访问网站,而是点击了链接。"
 | 1 moneydou 33 天前 无孔不入.... |
 | 2 zhanying 33 天前 via Android 那这个原贴链接我该不该点() |
 | 3 stinkytofux 33 天前  5 如果 npm 包管理的安全机制靠开发者不用乱点链接的话 ,我只能说 |
 | 4 shijingshijing 33 天前 前端真热闹,不过这样也好,总有事情做 |
 | 5 proxytoworld 33 天前 这和点链接有什么关系吗,这是供应链投毒,别标题党 |
 | 6 isbase 33 天前 你用的网站如果引用了这些被投毒的 npm 包,那么这个网站的用户都会收到影响。 |
 | 7 chenliangngng 33 天前 直接访问和点链接有什么区别吗,就是表面上是链接 a ,点击后跳到 b 这个一意思吗? |
 | 8 edak 33 天前 via iPhone 唉,开源 |
 | 9 TracyMagic 33 天前 3 前端老哥是真的穷,黑客忙活了半天就赚了 66u |
 | 10 AV1 33 天前 你没说重点呀,重点是包维护者被钓鱼邮件欺骗了。 关键内容: The maintainer shared that he was compromised by the use of phishing, using this email coming from support [at] npmjs [dot] help |
 | 11 lichdkimba 33 天前 @proxytoworld 据说是包的作者点了链接 |
 | 12 DT27 33 天前 2 这就跟央视宣传别随便扫二维码一样,跟二维码有什么关系啊。。。 |
 | 13 hcwhan 33 天前 内容说了 有 npm 包开发者 点击了钓鱼邮件里面假的 npm 网址 在假的 npm 网站进行登录 导致账号被盗了 |
 | 14 bearbest PRO 这跟点不点连接几乎毫无关系,你点一万个连接,不在打开的网页里输入敏感信息/下载可疑软件都不会有事,是被钓鱼了 |
 | 16 iorilu 32 天前 都是同一个人开发的包吗 |
Select Language