热门 npm 包被植入加密挖矿软件，感染目标涉及中国

发布时间：2025-12-07 20:07:34 作者：玩站小弟

近日，有研究人员发现，一些热门的npm包遭到入侵，攻击者利用窃取到的令牌将带有加密挖矿恶意软件的版本发布到了官方包注册表中。Rspack 的开发人员透露，他们的两个npm 包@rspack/core 。

近日，热门入加染目有研究人员发现，包被植标涉一些热门的密挖npm包遭到入侵，攻击者利用窃取到的矿软令牌将带有加密挖矿恶意软件的版本发布到了官方包注册表中。

Rspack 的感及中开发人员透露，他们的热门入加染目两个npm 包@rspack/core 和 @rspack/cli均被入侵。Rspack 被宣传为 webpack 的包被植标涉替代品，是密挖一款用 Rust 编写的“高性能 JavaScript 打包工具”。亿华云最初由字节跳动开发，矿软现在已经被阿里巴巴、感及中亚马逊、热门入加染目 Discord 和微软等几家公司采用。包被植标涉受影响的密挖两个包每周的下载量分别超过 30万次和 14.5万次，表明它们颇受开发人员欢迎。矿软

对这两个库的感及中恶意版本进行的分析显示，它们包含了调用远程服务器（“80.78.28[.]72”）的代码，用于传输敏感的配置信息，香港云服务器例如云服务凭据。同时它们还通过向“ipinfo[.]io/json”发出 HTTP GET 请求来收集 IP 地址和位置信息。为了取得性能和隐秘性的平衡，恶意加密挖矿活动还将CPU使用率限制在了75%。

值得注意的是，这种攻击还把感染范围限制在了特定一些国家，如中国、俄罗斯、白俄罗斯和伊朗。攻击的最终目标是在安装这些包时，免费模板在受影响的 Linux 主机上触发 XMRig 加密货币挖矿软件的下载和执行。这一操作需通过“package.json”文件中指定的一个 postinstall 脚本来实现。

目前含有恶意软件的版本已被撤下，新发布了安全的1.18版本。此外，项目维护人员还表示，他们已经作废了所有现有的 npm 令牌和 GitHub 令牌，检查了代码库和 npm 包的权限，源码库并审核了源代码是否存在潜在的漏洞，对令牌被窃取的根本原因进行了调查。

据悉，针对 Rspack的npm包的攻击还包含另一个名为Vant的npm 包，该包每周下载量超过 4.1 万次。 Sonatype的研究人员表示，攻击者成功地将几个被感染的版本发布到了 npm 注册表中，高防服务器包括 2.13.3 、2.13.4 、2.13.5 、3.6.13 、3.6.14 、3.6.15 、4.9.11 、4.9.12 、4.9.13 和4.9.14版本。目前，最新的安全版本4.9.15已发布，建议受影响的用户及时升级。

服务器租用

Tag：

苹果 Magic Keyboard 曝出威胁 Bug，现已修复
Security Affairs 网站消息，苹果近期发布了 Magic Keyboard 固件更新版本 2.0.6，解决了蓝牙键盘注入漏洞问题漏洞被追踪为 CVE-2024-0230）。据悉，该安全漏
2025-12-07
KB4524151安装失败如何解决
微软在推出了KB4524151补丁，我们在安装时遇见系统提示安装失败这种情况需要怎么办呢。小编觉得可以尝试使用内置系统优化软件或者更新升级最新的.net framework等等。更多具体详细内容请见下
2025-12-07
win10注册表打不开解决方法
注册表打不开一般情况下都是系统有损坏和恶意软件冲突导致的，无法打开或者进入注册表的用户只要修复一下就可以了，下面来一起看看详细的解决方法吧。win10注册表打不开解决方法1.进入系统桌面，小编这里以w
2025-12-07
Win10开机密码忘记怎么办
很多小伙伴可能会粗心大意的忘记了电脑登录密码，进不去电脑怎么办呢?今天小编带来了详细的解决方法，希望可以帮助到大家，下面一起来看看吧。Win10开机密码忘记解决方法1、准备一个带pu功能的u盘，把带P
2025-12-07
Synopsys 同意出售应用安全部门，价值 5.25 亿美元
上周三，Synopsys 董事会批准将公司的应用安全测试业务以 5.25 亿美元的价格出售，此举旨在让公司专注于设计自动化和集成电路知识产权IP）业务。去年 11 月，位于硅谷的系统设计巨头 Syno
2025-12-07
破折号怎么打在电脑上
我们在使用电脑的时候，有些情况下我们需要在电脑中输入一些符号。有的小伙伴在打字的时候就不知道破折号，就是一段长横线是怎么打出来的。对于这种情况小编觉得我们可以直接找到电脑键盘上的破折号所在按键直接输入
2025-12-07