#安全资讯 周下载量超过 220 万次的 NPM 包 is 遭到供应链攻击，开发者被钓鱼后黑客利用权限发布携带后门的版本，可以实现远程代码执行。事件发生在 7 月 19 日，恶意软件包发布后持续 6 小时才被删除，当时还有其他项目也遭到攻击并被换成携带后门的版本。查看全文：https://ourl.co/109949

轻量级 JavaScript 实用程序库 is 是 NPM 平台上非常流行的项目，该项目每周下载次数高达 220 万次，但在 2025 年 7 月 19 日该项目开发者遭到钓鱼并泄露账户权限，随后黑客开始发布携带后门程序的版本用于远程执行代码。

该项目的开发者是 John Harband，开发者收到自称是 NPMJS 的邮件并通知要求对账户进行验证，而点击链接后跳转的钓鱼网站，开发者提供账户信息后黑客可以直接登录开发者的账号。

随后黑客修改版本并添加后门程序，分析发现这个后门程序会打开基于 WebSocket 的后门从而实现远程代码执行，受影响的主要是 is v3.3.1~5.0.0 版，恶意软件包发布后持续 6 个小时后被 NPM 删除。

在这次攻击中还有其他项目包括 eslint-config-prettier、synckit、@pkgr/core、napi-postinstall、got-fetch，这些被感染的项目都携带类似的后门程序，也就是中招的开发者并不少。

研究人员还发现名为 Scavanger 的信息窃取程序，该程序只要适用于 Windows NT，可以从浏览器中窃取敏感信息，或许这个信息窃取程序是为了窃取存储在浏览器中的加密货币钱包信息。

使用以上项目的开发者应当检查自己使用的版本，如果不慎使用携带后门程序的版本则应该尽快进行更新，将其替换为清理后的版本，以及发布公告提醒最终用户注意安全。