近日，有研究人員發現，一些熱門的npm包遭到入侵，攻擊者利用竊取到的令牌將帶有加密挖礦惡意軟件的版本發布到了官方包注冊表中。

　　Rspack 的開發人員透露，他們的兩個npm 包@rspack/core 和 @rspack/cli均被入侵。Rspack 被宣傳為 webpack 的替代品，是一款用 Rust 編寫的“高性能 JavaScript 打包工具”。最初由字節跳動開發，現在已經被阿里巴巴、亞馬遜、 Discord 和微軟等幾家公司采用。受影響的兩個包每周的下載量分別超過 30萬次和 14.5萬次，表明它們頗受開發人員歡迎。

　　對這兩個庫的惡意版本進行的分析顯示，它們包含了調用遠程服務器(“80.78.28[.]72”)的代碼，用于傳輸敏感的配置信息，例如云服務憑據。同時它們還通過向“ipinfo[.]io/json”發出 HTTP GET 請求來收集 IP 地址和位置信息。為了取得性能和隱秘性的平衡，惡意加密挖礦活動還將CPU使用率限制在了75%。

　　值得注意的是，這種攻擊還把感染范圍限制在了特定一些國家，如中國、俄羅斯、白俄羅斯和伊朗。攻擊的最終目標是在安裝這些包時，在受影響的 Linux 主機上觸發 XMRig 加密貨幣挖礦軟件的下載和執行。這一操作需通過“package.json”文件中指定的一個 postinstall 腳本來實現。

　　目前含有惡意軟件的版本已被撤下，新發布了安全的1.18版本。此外，項目維護人員還表示，他們已經作廢了所有現有的 npm 令牌和 GitHub 令牌，檢查了代碼庫和 npm 包的權限，并審核了源代碼是否存在潛在的漏洞，對令牌被竊取的根本原因進行了調查。

　　據悉，針對 Rspack的npm包的攻擊還包含另一個名為Vant的npm 包，該包每周下載量超過 4.1 萬次。 Sonatype的研究人員表示，攻擊者成功地將幾個被感染的版本發布到了 npm 注冊表中，包括 2.13.3 、2.13.4 、2.13.5 、3.6.13 、3.6.14 、3.6.15 、4.9.11 、4.9.12 、4.9.13 和4.9.14版本。目前，最新的安全版本4.9.15已發布，建議受影響的用戶及時升級。