关键信息 漏洞概述 漏洞名称: simple-swizzle@0.2.3 contains malware after npm account takeover CVE ID: CVE-2025-59141 严重性: Critical 受影响版本: 0.2.3 修复版本: 0.2.4 影响 事件时间: 2025年9月8日,npm发布账户simple-swizzle在钓鱼攻击后被接管。 恶意软件行为: 版本0.2.3包含恶意负载,试图从浏览器环境中重定向加密货币交易到攻击者的地址。 影响范围: 只有在浏览器上下文中使用该包(如直接标签或通过Babel、Rollup等捆绑工具)才会受到影响。本地环境、服务器环境和命令行应用不受影响。 修复措施 移除恶意包: npm在2025年9月8日当天从注册表中移除了恶意包,阻止进一步下载。 发布新版本: 2025年9月13日,包所有者发布了新补丁版本,帮助清除可能缓存了受损版本的私有注册表用户。 用户操作: 用户应升级到最新补丁版本,完全删除node_modules目录,清理包管理器的全局缓存,并重新构建任何浏览器捆绑包。 参考链接 Aikido Dev Blog Socket Dev Blog Ox Security Blog 联系方式 包所有者: Bluesky, Bluesky Profile 跟踪问题: debug repository