本文最后更新于 2025-09-10,文章内容可能已过时,如需更新请留言。部分素材来自网络,若不小心影响到您的利益,请联系我删除。

今天早上刚看到的说npm遭受了生态有史以来最大规模的供应链攻击事件,攻击者通过钓鱼邮件入侵长期受信任的维护者qix的账户,篡改了包括chalk、debug和ansi-styles在内的18个流行软件包,这些软件包每周总下载量超过20亿次。

原文链接

中文链接

不过我想现在应该都有二步验证了吧,不论是authy这种的还是手机验证码或者邮件验证码。钓鱼邮件就算能拿到账户密码,但是能绕过二步验证吗?没想到还真的可以,有一种名为 AiTM钓鱼(Authentication in the Middle)的复杂钓鱼技术可以绕过MFA,攻击者通过钓鱼邮件窃取用户的会话令牌,从而在用户完成MFA验证后劫持其登录会话。

所以大家以后点击邮件链接一定要小心再小心,不知道的邮件千万不要点!说到这里我突然想起来大概一个月前有人加了我steam好友,跟我说让我为了cs2的中国战队投票。网站链接乍一看好像也没问题,但是我在fofa上搜了一下域名发现根本不是官方网站,我就没理他了,这一个月几乎每两天就跟我打一次招呼😂

话说回npm这个事,其实最开始我看到的时候以为是Nginx Proxy Manager呢,后来才意识到应该是Node Package Manager(不要笑我,毕竟我并不是程序员)。目前来看有效的应急手段就是回滚到安全版本,不过稍微令人安心一点的是:

所以说还得是硬钱包啊