警訊:npm 多項熱門套件遭供應鏈攻擊,千萬開發團隊立即應變!
npm「chalk」、「debug」等套件遭供應鏈攻擊,20 億次下載風險爆表
2025 年 9 月 8 日,Sonatype 安全研究團隊揭露一起極具衝擊力的 npm 軟體供應鏈攻擊事件:包括 `chalk`、`debug` 在內的 18 個熱門 npm 套件遭惡意植入加密貨幣劫持程式碼,平均每週下載超過 20 億次,波及全球開發者與企業應用。
事件起因與惡意程式
駭客透過釣魚進入維護者帳戶後,發布帶有惡意 payload 的新版本,一旦開發者將這些套件打包於前端,使用者在瀏覽時,惡意程式將攔截 Web3 錢包 API,偷偷竄改交易目的地址,讓資金流進駭客掌控的錢包中,整起攻擊僅維持數小時卻可能造成龐大財富移轉風險。
更多 npm 套件遭挾持
Sonatype 資安研究團隊進一步揭露,除了先前的 chalk 與 debug 外,還有另外四個由不同維護者管理的套件同樣被駭客入侵並竄改版本,疑似出自同一威脅行為者之手:
- proto-tinker-wc : 0.1.87
- prebid-universal-creative : 1.17.3
- prebid : 10.9.1
- prebid.js : 10.9.2
這些套件在今日早上同步釋出帶有惡意後門程式的新版本,與先前的案例相同,均被追蹤為 sonatype-2025-003716。
對開發團隊來說,這意味著攻擊面不僅限於高下載量的熱門模組,就連廣泛應用於廣告投放與前端開發的套件也難以倖免,強調了軟體供應鏈風險的嚴峻程度。
波及套件清單(部分)
受影響的套件版本包括但不限於:
Last updated 10:33 a.m. ET on September 9, 2025
- @coveops/abi : 2.0.1
- @duckdb/duckdb-wasm - 1.29.2
- @duckdb/node-api : 1.3.3
- @duckdb/node-bindings : 1.3.3
- ansi-regex : 6.2.1
- ansi-styles : 6.2.2
- backslash : 0.2.1
- chalk : 5.6.1
- chalk-template : 1.1.1
- color : 5.0.1
- color-convert : 3.1.1
- color-name : 2.0.1
- color-string : 2.1.1
- debug : 4.4.2
- duckdb : 1.3.3
- error-ex : 1.3.3
- has-ansi : 6.0.1
- is-arrayish : 0.3.3
- prebid : 10.9.2
- prebid-universal-creative : 1.17.3
- prebid.js : 10.9.2
- proto-tinker-wc : 0.1.87
- simple-swizzle : 0.2.3
- slice-ansi : 7.1.1
- strip-ansi : 7.1.1
- supports-color : 10.2.1
- supports-hyperlinks : 4.1.1
- wrap-ansi : 9.0.1
重要作法:可視化與即時反應關鍵
此事件再次提醒我們,開源供應鏈安全不可忽視。強烈建議:
- 立即檢查專案中是否引用上述套件與版本
- 立刻更新/移除可疑版本並重新部署
- 導入 SBOM(Software Bill of Materials)建立完整依賴檢視
- 實施 SCA(Software Composition Analysis)偵測組件異常
- 部署 Repository Firewall、Lifecycle 政策,阻絕惡意元件進入建置流程
結語:供應鏈安全速成刻不容緩
傳統開發流程若缺乏供應鏈可視性與控管,將使惡意攻擊得手後難以察覺。以本次 npm 攻擊為鑑,請所有開發團隊與 DevOps 安全整合先行,一旦攻擊爆發,才能快速反應、有效止損。
完整原文及音訊說明:https://www.sonatype.com/blog/npm-chalk-and-debug-packages-hit-in-software-supply-chain-attack
若您希望深入了解如何在 CI/CD 流程中導入防護機制,或建立專屬的供應鏈風險管理架構,歡迎聯繫 >>創泓科技,我們提供一站式 DevSecOps 支援與落地規劃。
創泓科技聯絡方式:
電話|02-26583077
Email|sales@uniforce.com.tw
聯絡我們