9 月 8 日，Node.js 生態鏈遭遇前所未有的沖擊。資深 npm 維護者 Qix（Josh Junon） 因一封釣魚郵件泄露了賬戶，攻擊者趁機在多個熱門包里植入了惡意代碼。這次事件迅速引爆社區，成為開源史上下載量最大的供應鏈攻擊之一。

驚人的攻擊規模

這次攻擊的規模可以用“駭人”來形容：

?影響范圍：超過 20 個高頻使用的 npm 包被攻陷；

?下載量：受影響的包累計每周下載量超過 20 億次；

?生態牽連：這些庫往往是框架和工具鏈的底層依賴，幾乎波及所有前端項目；

?傳播速度：惡意版本發布僅兩小時，就已經滲透進 10% 的云環境。

攻擊過程回顧

整個攻擊鏈條非常典型：

1.賬戶被盜 —— 攻擊者通過偽裝成 npm 官方的郵件，誘騙 Qix 輸入憑證，從而拿下賬號；

2.惡意發布 —— 入侵后立即在 debug、chalk 等包中推送新版本；

3.快速擴散 —— 由于這些庫幾乎是“標配”，惡意代碼在短時間內被廣泛下載；

4.緊急響應 —— 兩小時后維護者確認異常，社區合力將問題版本移除。

圖片

已確認受影響的關鍵包

核心工具庫：

?chalk@5.6.1 —— 終端字符串樣式處理

?debug@4.4.2 —— 常用調試工具

?supports-color@10.2.1 —— 顏色支持檢測

依賴相關：

?ansi-styles@6.2.2

?strip-ansi@7.1.1

?wrap-ansi@9.0.1

?color-convert@3.1.1

?slice-ansi@7.1.1

數據庫生態：

?@duckdb/node-api@1.3.3

?@duckdb/duckdb-wasm@1.29.2

這些包幾乎都是前端和 Node.js 項目常見的依賴，影響范圍之廣可想而知。

惡意代碼的真正目的

攻擊者植入的代碼并不是為了“搞破壞”，而是有著明確的經濟目標 —— 盜取加密貨幣錢包資產：

1.先檢查運行環境（確認在瀏覽器里執行）；

2.Hook 常用接口（fetch、XMLHttpRequest、window.ethereum.request）；

3.在用戶發起加密交易時，偷偷替換目標地址為攻擊者的錢包地址；

4.使用 Levenshtein 算法 讓替換后的地址“看起來差不多”，降低被發現的幾率。

換句話說，用戶以為自己在給朋友轉賬，實際上錢已經流向了攻擊者。

開發者該怎么應對？

如果你的項目依賴這些包，建議立刻做以下檢查和防護：

?避免升級到受損版本：確認當前使用的依賴版本是否處于受影響范圍；

?鎖定依賴版本：在 package-lock.json 或 pnpm-lock.yaml 中固定已知安全的版本，防止自動升級；

?審計近期安裝：排查過去幾天安裝或升級過的依賴，檢查是否存在可疑文件或異常行為；

?建立防護習慣：考慮啟用依賴掃描工具，第一時間發現風險。

寫在最后

這起事件再次敲響警鐘：開源生態的便利背后，供應鏈安全始終是潛在的“軟肋”。前端開發者或許不是黑客的直接目標，但卻可能在不知不覺中成為受害者。

鎖定依賴、保持警惕、善用工具，才是日常開發中最可靠的自保之道。