npm 包恶意劫持事件:@ctrl/tinycolor 受影响
2025-09-18
一个恶意 GitHub Actions 工作流被推送到一个共享仓库中,窃取了一个具有广泛发布权限的 npm token。攻击者随后利用该 token 发布了 20 个恶意软件包,其中包括 @ctrl/tinycolor。作者的 GitHub 账户和 @ctrl/tinycolor 仓库未被直接入侵。攻击者通过一个共享仓库中的 GitHub Actions secret 窃取了 npm token,并发布了恶意软件包版本。GitHub 和 npm 安全团队迅速做出响应,取消发布了恶意版本,作者也发布了干净的版本以清除缓存。作者计划迁移到 npm 的 Trusted Publishing (OIDC) 以消除静态 token,并加强安全措施,例如限制每个仓库的 npm token 的权限。
(sigh.dev)
开发