关键信息 漏洞描述 - 受影响版本: - 修复版本: - 严重性: Critical - CVE ID: CVE-2025-59330 - 弱点: CWE-506 影响 - 2025年9月8日, 的npm发布账户在钓鱼攻击后被接管。 - 发布了功能上与之前补丁版本相同的 版本,但添加了恶意软件负载,试图从浏览器环境中重定向加密货币交易到攻击者的地址。 - 本地环境、服务器环境、命令行应用等不受影响。如果在浏览器上下文中使用(如直接 包含或通过Babel、Rollup、Vite、Next.js等捆绑工具),恶意软件可能仍存在,需要重新构建这些包。 修复措施 - npm在9月8日当天从注册表中移除了恶意包,阻止进一步下载。 - 9月13日,包所有者发布了新的补丁版本以帮助清除私有注册表中可能缓存的受损版本。 - 用户应更新到最新补丁版本,完全删除 目录,清理包管理器的全局缓存,并从头重建任何浏览器包。 参考资料 - Aikido Dev Blog - Socket Dev Blog - Ox Security Blog 联系点 - 被攻破的发布账户所有者: Bluesky Profile - 跟踪问题的 仓库: debug-js/debug#1005