关键信息 漏洞描述 - 包含恶意软件,这是在 npm 账户被接管后发布的。 - 恶意软件尝试从浏览器环境中重定向加密货币交易到攻击者的地址。 受影响版本 - 修复版本 - 严重性 - Critical CVE ID - CVE-2025-59331 弱点 - CWE-506 影响 - 只有在浏览器上下文中使用该包时才会受到影响(例如直接 引入或通过 Babel、Rollup、Vite、Next.js 等捆绑工具)。 - 本地环境、服务器环境、命令行应用等不受影响。 修复措施 - npm 已从注册表中移除恶意包。 - 用户应升级到最新补丁版本,删除 目录,清理全局缓存,并重新构建浏览器捆绑包。 参考链接 - Aikido Dev Blog - Socket Dev Blog - Ox Security Blog 联系点 - 被攻破的发布账户所有者:Bluesky Profile - 跟踪问题:debug-js/debug#1005