npm 套件 [email protected] 被發現含有嚴重的供應鏈後門，會自動執行遠端惡意程式碼

npm 套件 [email protected] 被發現含有嚴重的供應鏈後門，會自動執行遠端惡意程式碼。

近期資安研究發現，npm 套件 [email protected] 存在嚴重的供應鏈後門漏洞，該套件會在模組載入時自動向硬編碼的外部網址發送請求，並執行從該回應中獲取的 JavaScript 程式碼，這對依賴此套件的專案構成極大威脅。

安全威脅分析

• 該後門行為極具隱蔽性，會在模組載入（module load time）時自動觸發。
• 惡意程式碼透過向硬編碼的外部 URL 發送請求，並直接執行回傳的 JavaScript，實現了遠端程式碼執行（RCE）的攻擊路徑。
• 此類供應鏈攻擊利用開發者對開源套件的信任，將惡意邏輯植入常見的依賴項中，導致下游應用程式在不知情下執行惡意指令。

開發者建議

• 建議開發者立即檢查專案依賴，確認是否使用了 [email protected] 版本。
• 應盡速移除或更新受影響的套件，並審查專案中的 package.json 與 package-lock.json，確保未引入惡意版本。
• 此事件再次凸顯了開源生態系統中供應鏈安全的重要性，開發者在引入第三方套件時，必須加強對依賴項的安全性審查。