鼓狮快讯重磅报道:近期 Scam Sniffer 安全监测平台再曝惊人发现,又一波针对 NPM 供应链的恶意攻击事件浮出水面。备受关注的 npm 包 @ctrl/tinycolor(每周下载量高达 220.00 万次)被曝存在高危漏洞,其恶意版本在 postinstall 脚本执行期间暗中植入信息窃取程序,对用户敏感数据进行疯狂扫描与窃取。这一恶意行为令人震惊的是,攻击者竟巧妙利用了合法的敏感信息扫描工具 TruffleHog 作为掩护,进一步增加了检测难度。
安全研究人员紧急指出,该恶意有效负载通过伪装成正常更新,在用户执行 npm install 或 npm update 命令时自动触发,一旦成功运行便开始对本地代码仓库进行深度扫描,重点窃取 API 密钥、加密证书等核心敏感信息。目前已知受影响版本包括 v1.3.0 及其后续更新,所有近期下载过该包的用户均需立即采取行动。
建议所有开发者立即核查项目依赖,通过以下命令确认是否安装了受影响版本:npm list @ctrl/tinycolor –depth=0。一旦发现异常,应立即暂停所有相关包的安装或更新操作,并强制锁定到已验证安全的版本(如 v1.2.9 或更早版本)。同时,建议对本地代码仓库执行全面安全扫描,并更换所有可能泄露的敏感凭证。NPM 官方已发布安全公告并下架了高危版本,但用户仍需保持警惕,避免在未确认安全前继续使用该包。此次事件再次敲响供应链安全的警钟,开发者必须建立完善的安全检测机制,防范类似攻击。