大家千万别随便点击链接了， npm 上 18 个流行的软件包又被投毒了

2 天前

rmrf

原帖： https://www.aikido.dev/blog/npm-debug-and-chalk-packages-compromised

2025 年 9 月 8 日，Aikido 安全团队通过其情报系统发现，npm 上 18 个流行的软件包被推送了包含恶意代码的新版本。这些软件包每周下载量超过 20 亿次，包括 backslash 、chalk-template 、supports-hyperlinks 等。

被投毒的软件作者出来现身道歉了："我犯了一个错误，像往常一样（因为当时我在用手机）没有直接访问网站，而是点击了链接。"

3989 次点击

所在节点

信息安全

17 条回复

moneydou

2 天前

无孔不入....

zhanying

1 天前

那这个原贴链接我该不该点（）

stinkytofux

1 天前

如果 npm 包管理的安全机制靠开发者不用乱点链接的话 ,我只能说🌶︎🐔

shijingshijing

1 天前

前端真热闹，不过这样也好，总有事情做

proxytoworld

1 天前

这和点链接有什么关系吗，这是供应链投毒，别标题党

isbase

1 天前

你用的网站如果引用了这些被投毒的 npm 包，那么这个网站的用户都会收到影响。

chenliangngng

1 天前

直接访问和点链接有什么区别吗，就是表面上是链接 a ，点击后跳到 b 这个一意思吗？

lhwj1988

1 天前

唉，开源

TracyMagic

1 天前

前端老哥是真的穷，黑客忙活了半天就赚了 66u 🐶

DOLLOR

1 天前

你没说重点呀，重点是包维护者被钓鱼邮件欺骗了。

关键内容：
The maintainer shared that he was compromised by the use of phishing, using this email coming from support [at] npmjs [dot] help

lichdkimba

1 天前

@proxytoworld 据说是包的作者点了链接

DT27

1 天前

这就跟央视宣传别随便扫二维码一样，跟二维码有什么关系啊。。。

hcwhan

1 天前

内容说了有 npm 包开发者点击了钓鱼邮件里面假的 npm 网址在假的 npm 网站进行登录导致账号被盗了

bearbest

1 天前

这跟点不点连接几乎毫无关系，你点一万个连接，不在打开的网页里输入敏感信息/下载可疑软件都不会有事，是被钓鱼了

rmrf

1 天前

@DOLLOR #10

说重点了啊，就是点击了钓鱼邮件中的链接才这样的，链接千万不能随便点击。。。。

iorilu

23 小时 28 分钟前

都是同一个人开发的包吗

marktask

1 小时 8 分钟前

@rmrf #15 这跟点击链接有什么关系呢？你要这么追溯问题原因的话。可不可以说是因为电脑开机？可不可以说是办了某某宽带？单纯点击链接，打开页面，不做任何操作，是不会中毒的，主要是信任了打开的链接内容。

第 1 页／共 1 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1158008

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.