关键信息 漏洞概述 漏洞名称: color-string@2.1.1 contains malware after npm account takeover CVE ID: CVE-2025-59142 严重性: Critical 受影响版本: 2.1.1 修复版本: 2.1.2 影响 事件时间: 2025年9月8日 事件描述: npm发布账户color-string在钓鱼攻击后被接管。发布了功能与之前补丁版本相同的2.1.1版本,但添加了恶意软件负载,试图从浏览器环境中重定向加密货币交易到攻击者的地址。 影响范围: 只有在浏览器上下文中使用该包(如直接包含或通过Babel、Rollup、Vite、Next.js等捆绑工具)才会受到影响。本地环境、服务器环境、命令行应用等不受影响。 修复措施 移除恶意包: npm在2025年9月8日当天从注册表中移除了恶意包,防止进一步下载。 发布新补丁版本: 2025年9月13日,包所有者发布了新的补丁版本,帮助清除可能仍缓存了受感染版本的私有注册表用户。 用户操作: 用户应升级到最新补丁版本,完全删除node_modules目录,清理包管理器的全局缓存,并重新构建任何浏览器捆绑包。 参考资料 npm-debug-and-chalk-packages-compromised npm-author-qix-compromised-in-major-supply-chain-attack npm-packages-compromised 联系方式 Bluesky, 包所有者: bad-at-computer.bsky.social debug仓库, 追踪问题: debug-js/debug#1005