# 策展 · X (Twitter) 🔥

> 📖 本站完整內容索引（documentation index）：[llms.txt](/llms.txt)

> 作者：npm malware (@npm_malware) · 平台：X (Twitter) · 日期：2026-04-02

> 原始來源：https://x.com/npm_malware/status/2039447751214395503

## 中文摘要

npm 套件 express-session-js@1.19.0 被發現含有嚴重的供應鏈後門，會自動執行遠端惡意程式碼。

近期資安研究發現，npm 套件 `express-session-js@1.19.0` 存在嚴重的供應鏈後門漏洞，該套件會在模組載入時自動向硬編碼的外部網址發送請求，並執行從該回應中獲取的 JavaScript 程式碼，這對依賴此套件的專案構成極大威脅。

**安全威脅分析**
- 該後門行為極具隱蔽性，會在模組載入（module load time）時自動觸發。
- 惡意程式碼透過向硬編碼的外部 URL 發送請求，並直接執行回傳的 JavaScript，實現了遠端程式碼執行（RCE）的攻擊路徑。
- 此類供應鏈攻擊利用開發者對開源套件的信任，將惡意邏輯植入常見的依賴項中，導致下游應用程式在不知情下執行惡意指令。

**開發者建議**
- 建議開發者立即檢查專案依賴，確認是否使用了 `express-session-js@1.19.0` 版本。
- 應盡速移除或更新受影響的套件，並審查專案中的 `package.json` 與 `package-lock.json`，確保未引入惡意版本。
- 此事件再次凸顯了開源生態系統中供應鏈安全的重要性，開發者在引入第三方套件時，必須加強對依賴項的安全性審查。

## 標籤

資安, 其他, Web, npm