一位匿名读者分享了一份报告:在这次被称为历史上最大规模的供应链攻击中,攻击者通过网络钓鱼攻击入侵了维护者的账户,并向每周下载量超过 26 亿次的 NPM 软件包中注入了恶意软件。在这次供应链攻击中账户被劫持的软件包维护者今天早些时候证实了这一事件,他表示自己已知晓此次入侵,并补充说钓鱼邮件来自 support [at] npmjs [dot] help,该域名托管着一个冒充合法 npmjs.com 域名的网站。在邮件中,攻击者威胁称目标维护者的账户将于 2025 年 9 月 10 日被锁定,这是一种恐吓手段,诱使他们点击重定向到钓鱼网站的链接。
在 Slashdot 上阅读更多内容。