大规模 npm 供应链泄露将浏览器加密窃取器注入 18 个软件包
Node.jsnpm安全
关键更新
在 2025 年 9 月 8 日,攻击者钓鱼了一个高产维护者(Qix / Josh Junon)的 npm 账户,并在 18 个软件包中发布了恶意版本,这些软件包的每周下载量总计达数十亿;注入的代码在浏览器中执行,以拦截钱包/网络 API 并重写加密货币接收者,从而将资金转移到攻击者控制的地址。(pt.aikido.dev)
重要性
这不是一个理论上的代码库泄露:这些软件包(chalk、debug、ansi‑styles 和几个小但高度传递的工具)位于庞大的依赖关系图中,并且常常被打包到前端构建中。有效载荷仅在浏览器上下文中运行,因此运行 Node.js 的服务器并未直接执行恶意逻辑,但任何包含被特洛伊木马版本并交付前端资产的构建都可能在短暂的生存窗口中暴露最终用户的加密流。社区和注册中心采取的遏制措施迅速删除了这些版本,但修复过程在操作上非常痛苦:团队必须固定并重建工件,清除缓存和 CDN,验证锁定文件和部署工件,并将其视为实时供应链事件进行事件响应和事后分析工作。(pt.aikido.dev)
来源
继续阅读
Node.js v25 定于 2025‑10‑15 发布 — semver‑major 版本即将到来
2025年9月30日Node.js v25 定于 2025 年 10 月 15 日发布(提交截止日期 2025‑09‑15)。团队应针对新主要版本运行 CI,验证本地模块,并准备金丝雀部署。
Azure Functions Proxies:社区支持将于2025‑09‑30结束 — 立即迁移离开Proxies
2025年9月29日Azure宣布Azure Functions Proxies将在2025‑09‑30后不再支持;仍在使用Proxies的团队必须立即清点并迁移到受支持的API接口(APIM、Front Door或轻量级反向代理)。
NodeShield: 运行时 SBOM 强制执行 (CBOM) 以微不足道的开销限制 Node.js 的供应链攻击
2025年9月28日一篇新论文介绍了 NodeShield,这是一种运行时强制执行系统,使用扩展了每个依赖项能力的 SBOM(CBOM)来防止 Node.js 中的供应链滥用,效果约为 98%,开销小于 1 毫秒。