npm 包 nx 遭恶意代码攻击:凭据泄露和系统关机风险
2025-08-27
近日,npm 包 nx 的多个版本(包括 21.5.0、20.9.0 等)遭到恶意攻击,攻击者利用被盗取的 npm 令牌发布了包含恶意代码的软件包。恶意代码会扫描用户文件系统,收集凭据(包括GitHub、系统密码等),并将这些信息上传到攻击者控制的 GitHub 仓库。此外,恶意代码还会修改用户的 `.zshrc` 和 `.bashrc` 文件,在终端启动时执行 `sudo shutdown -h 0` 命令,导致系统立即关机。受影响的用户应立即更新 nx 包到最新版本,并检查 GitHub 仓库是否被上传了恶意文件。Nx 官方已采取措施移除恶意软件包,并增强安全措施,例如强制所有 npm 包启用 2FA 和新的 Trusted Publisher 机制。
开发