这可能是历史上影响规模最大的一次供应链攻击:在一位维护者遭到钓鱼攻击导致其账户被攻击者窃取之后,其维护的 20 个 NPM 包被迅速植入了恶意代码,恶意代码旨在窃取加密货币。这些 NPM 包的周下载量超过 20 亿次。维护者 Josh Junon 收到了一封邮件,要求他登录网站更新 2FA 凭证,否则其账户将会被关闭。邮件使用的域名 support.npmjs.help 是在 3 天前创建的,模仿了 npm 官方域名 npmjs.com。在攻击者获得了他的 2FA 凭证之后,立即了更新了其维护的几十个 NPM 包,植入了窃取加密货币的代码,监控涉及以太坊、比特币、Solana、Tron 等加密货币的转账,一旦当检测到此类交易,它会将目标钱包地址替换为攻击者控制的钱包地址。受影响的 NPM 包包括了 backslash@0.2.1、chalk@5.6.1、chalk-template@1.1.1、color-convert@3.1.1、color-name@2.0.1 等等。
