轻量级 JavaScript 实用工具库 "is" 是 NPM 平台上的热门项目，每周下载量超过 220 万次。然而在 2025 年 7 月 19 日，该库开发者遭遇钓鱼攻击导致账户凭证泄露，攻击者借此发布了包含远程代码执行后门的恶意版本。

钓鱼攻击入侵开发者账户

据报告，项目维护者 John Harband 收到了一封伪装成 NPMJS 官方的电子邮件，要求进行账户验证。点击邮件内嵌链接后，他被重定向至钓鱼网站。在不知情的情况下提交凭证后，攻击者直接获取了其 NPM 账户权限。

恶意代码注入与传播

攻击者随后修改软件包并植入后门。分析显示，该恶意负载建立了基于 WebSocket 的通信通道以实现远程代码执行。受影响版本包括 is v3.3.1 至 v5.0.0。这些恶意软件包在 NPM 官方下架前已存活约六小时。

此次事件不仅涉及单个库。其他项目如 eslint-config-prettier、synckit、@pkgr/core、napi-postinstall 和 got-fetch 同样遭到入侵，均被植入类似的远程访问负载——这表明多名开发者已成为攻击目标。

新型信息窃取恶意软件曝光

研究人员还发现了一款名为 Scavanger 的信息窃取恶意软件，该软件似乎专门针对 Windows NT 系统开发。它能从浏览器中提取敏感数据，很可能是为了窃取存储的加密货币钱包凭证。

安全建议

使用上述任一软件包的开发者应立即采取以下措施：

• 审计项目依赖项
• 验证版本完整性
• 立即升级至净化后的发布版本

项目维护者还应发布公开安全通告，提醒终端用户并降低潜在风险。