Aggregator

在一场供应链攻击中，攻击者通过钓鱼攻击攻陷一名维护者的账户后，向周下载量合计超26亿次的多个NPM包植入了恶意软件。

此次供应链攻击中账户遭劫持的软件包维护者Josh Junon已于今日早些时候确认了该事件。他表示钓鱼邮件来自“support [at] npmjs [dot] help”邮箱——该邮箱对应的域名搭建了仿冒正规npmjs.com的网站。 

钓鱼邮件中，攻击者以“2025年9月10日锁定账户”相威胁，通过恐吓手段诱使目标点击链接进入钓鱼网站。邮件内容称：“为维护您账户的安全与完整，请您尽快完成更新。请注意，自2025年9月10日起，使用过期2FA凭证的账户将被临时锁定，以防止未授权访问。” 

网络钓鱼电子邮件

据收到钓鱼邮件的人士透露，攻击者使用相同邮件针对其他包维护者及开发者发起了攻击。安全研究人员发现，npmjs[.]help网站上包含一个登录表单，用户输入的凭据会被窃取并发送至以下URL：  

https://websocket-api2[.]publicvm.com/images/jpg-to-png.php?name=[name]&pass=[password]

事件发现后，NPM团队已移除攻击者发布的部分恶意版本包，其中包括周下载量达3.576亿次的“debug”包。

供应链攻击细节

安全公司Aikido Security对此次攻击进行分析后指出，攻击者接管账户后对相关包进行了更新，在index.js文件中植入了基于浏览器的拦截型恶意代码。该代码可劫持网络流量与应用程序接口（API）。 

恶意代码仅影响通过网页访问受感染应用的用户：它会监控加密货币地址及交易，将其重定向至攻击者控制的钱包地址，导致交易被攻击者劫持，而非发送至预期地址。

这款恶意软件的工作原理是：注入用户的网页浏览器后，监控以太坊、比特币、索拉纳、波场、莱特币及比特币现金的钱包地址与转账行为；一旦检测到包含加密货币交易的网络响应，便将收款地址替换为攻击者控制的地址，在交易签名前完成劫持。 

Aikido表示，恶意代码通过挂钩（hooking）JavaScript函数实现上述操作，涉及fetch、XMLHttpRequest以及钱包API（如window.ethereum、Solana相关API等）。

截至目前，遭劫持的包及其周下载量如下：

·backslash：26万次  

·chalk-template：390万次  

·supports-hyperlinks：1920万次  

·has-ansi：1210万次  

·simple-swizzle：2626万次  

·color-string：2748万次  

·error-ex：4717万次  

·color-name：1.9171亿次  

·is-arrayish：7380万次  

·slice-ansi：5980万次  

·color-convert：1.935亿次  

·wrap-ansi：1.9799亿次  

·ansi-regex：2.4364亿次  

·supports-color：2.871亿次  

·strip-ansi：2.6117亿次  

·chalk：2.9999亿次  

·debug：3.576亿次  

·ansi-styles：3.7141亿次  

Aikido Security研究员表示：“这些软件包被更新后植入了一段代码，该代码会在网站客户端执行，暗中拦截浏览器中的加密货币及Web3活动，操纵钱包交互，并篡改支付目的地——使得资金与授权被重定向至攻击者控制的账户，而用户毫无察觉。”其危险性在于多层面运作：既修改网站显示内容，又篡改API调用，还操纵用户应用程序对签名内容的认知。

攻击影响范围与背景

尽管这是一场供应链攻击，但应用程序受影响需满足特定条件，大幅降低了攻击的实际影响。具体条件包括：

1. 在软件包遭篡改时段进行了全新安装；

2. 在此期间生成了package-lock.json文件；

3. 直接或间接依赖了受漏洞影响的包。

近几个月来，已有多起类似攻击针对知名JavaScript库的开发者。例如，7月时，周下载量超3000万次的“eslint-config-prettier”包遭攻陷；3月时，另有10个广泛使用的NPM库被劫持并改造成信息窃取工具。

此次钓鱼攻击与植入的恶意软件均表明，网页浏览器已成为窃取凭据、篡改流量及入侵网络的巨大攻击面。

【梆梆安全监测】

安全隐私合规监管趋势及漏洞风险报告

（0803-0816）

●最新监管动态

监管通报动态

●监管支撑汇总

梆梆安全监管支撑数据

国家监管数据分析

●漏洞风险分析

各漏洞类型占比分析

存在漏洞的APP类型分析 

01 最新监管动态

1. 监管通报动态

8月3日，北京通管局依据相关法律法规的要求，持续开展移动互联网应用程序隐私合规和网络数据安全专项整治。截至目前，尚有20款移动互联网应用程序未整改或整改不到位，现予以公开通报。7月3日，北京通管局通报存在侵害用户权益行为的移动互联网应用程序（2025年第六期）。截至目前，仍有12款移动互联网应用程序未整改或整改不到位，现予以全网下架处置。

8月4日，工信部依据相关法律法规的要求，对APP、SDK进行检查，共发现23款APP及SDK存在侵害用户权益行为。上述APP应限期落实整改要求。逾期不整改的，工信部将依法依规组织开展相关处置工作。

8月4日，青海通管局依据相关法律法规的要求，持续开展APP侵害用户权益专项整治行动。截至目前，仍有9款APP未完成整改工作，上述APP开发运营者应限期落实整改，逾期未完成整改的，青海通管局将依法依规进行处置。

8月5日，安徽通管局依据相关法律法规的要求，持续开展APP侵害用户权益专项整治行动。截至目前，尚有5款APP（2025年第五批次）逾期未完成整改，安徽通管局对上述APP进行下架。

8月5日，上海通管局依据相关法律法规的要求，持续整治APP（SDK）侵害用户权益的违规行为。截至目前，共发现145款APP（SDK）存在侵害用户权益行为。上述APP应限期落实整改要求。逾期不整改的，上海管局将依法依规给予处理。

8月13日，国家计算机病毒应急处理中心依据相关法律法规，检测发现70款移动应用存在违法违规收集使用个人信息情况。上期通报的病毒处理中心检测发现的68款违法违规移动应用，经复测仍有25款存在问题，相关移动应用分发平台已予以下架。

8月15日，青海通管局依据相关法律法规的要求，持续开展APP（含小程序）侵害用户权益专项整治行动。经核查复检，仍有8款APP未完成整改工作，青海通管局予以下架处置。

02 监管支撑汇总

1. 梆梆安全监管支撑数据

依据近两周监管支撑发现存在隐私合规类问题的APP数据，从APP行业分类及TOP3问题数据两方面来说明。

1)问题行业TOP1：

学习教育类

2)隐私合规问题TOP3：

TOP1：164号文5 APP强制、频繁、过度索取权限；

TOP2：164号文1 违规收集个人信息；

TOP3：164号文6 APP频繁自启动和关联启动。

2. 国家监管数据分析

针对国家近两周监管通报数据，依据问题类型，统计涉及APP数量如下：

针对国家近两周监管通报数据，依据APP类型，统计出现通报的APP数量如下：

03 漏洞风险分析

从全国的Android APP中随机抽取了3,535款进行漏洞检测发现，存在中高危漏洞威胁的APP为2,752个，即77.85%以上的App存在中高危漏洞风险。而这2,752款漏洞应用中，有高危漏洞的应用共2,067款，占比75.11%，有中危漏洞的应用共2,678款，占比97.31%（同一款应用可能存在多个等级的漏洞）。存在不同风险等级漏洞的App占比如下：

各漏洞类型占比分析

对不同类型的漏洞进行统计，应用中高危漏洞数量排名前三的类型分别为Java代码反编译风险、HTTPS未校验主机名漏洞以及动态注册Receiver风险。各漏洞类型占比情况如下图所示：

存在漏洞的APP类型分析

从APP类型来看，实用工具类APP存在漏洞风险最多,占漏洞APP总量的19.38%，其次为教育学习类APP，占比13.49%，生活服务类APP位居第三，占比10.69%，漏洞数量排名前十的类型如下图所示：

篇首语：关于OSINT开源情报的概念，早已在信息安全圈里展开多年，很多安全技术部门、深挖黑灰产的企业威胁情报部门，安全研究员及技术爱好者们，都在通过各种方式检索、学习国内外的最新信息、技术和工具，及跨平台交流。

而随着近些年市场需求的快速增长，加上国内专业情报与咨询公司的陆续出现，OSINT开源情报技术也开始进入一个飞速发展的阶段。

经过多年的筹备，为了应对不断变化的商业安全态势，今天，RC²正式推出全新课程：

「OSINT商战情报官认证课程」~~

1、什么是OSINT？

相信很多朋友在一些会议现场，都听到过关于OSINT开源情报的介绍，但大部分演讲者分享的都是关于某些企业内部平台、商业平台或自动化工具的介绍，对于具体的技术都是一带而过。

那么，到底什么是OSINT呢？

OSINT，全称：Open-Source Intelligence，即开源情报搜集。以下引用百度百科内容：

开源情报搜集，是一种通过公开渠道获取并分析信息的情报收集手段，其定义为“面向特定需求，从公开信息中及时收集、开发和传播的情报”。

公开信息源包括新闻报道、学术论文、社交媒体平台资讯、采购招标文件及卫星图像等，经整理分析可提取关键领域情报。

去年，美国国家情报总监办公室（ODNI）和中央情报局（CIA）发布了《2024-2026 年情报部门OSINT战略》。

如上图，在该报告扉页，中央情报局局长William J. Burns 写道：

“作为情报部门 OSINT 职能负责人，我深知开源情报在捍卫我们的国家和价值观方面发挥着至关重要的作用。从运营分析到政策会议，开源情报几乎为美国面临的所有重大问题上的高层决策者提供决策依据。

在这个关键时刻，开源情报的重要性与需求也日益增长，制定一个覆盖整个情报部门的开源情报战略，对于帮助情报部门以协调一致、坚定不移的方式向前发展至关重要。

这一战略将帮助我们履行职责，并进一步增强OSINT对国家安全的巨大影响。”

嗯，再结合下RC²自身的例子：

回想2016年，RC²反窃密实验室成立之初，面对的情况就是国内互联网上如同白纸般无任何现成反窃密技术资料可学习的处境。

即使开展了为期三个月的全国性市场调研，也不过发现99%的行业公司都是以销售设备为主，几乎无人在技术上有专门的研究投入，而且全国能够持有全套专业检测装备的商业团队数量更是少得不到一只手......太难了

无奈之下，杨叔只能延续在十多年信息安全从业养成的习惯，先建立威胁情报小组，同步分析TSCM技术路线图，将里面大部分的技术难点标识出来，再开始大批量的数据检索翻译分析，然后逐步开展研究和实验......经过近一年的准备，才推出了前两门基础课程：

Level-1与Level-2 商业秘密&隐私保护课程

2、OSINT对RC²的意义

RC²成立至今已有九年，有个非常重要的核心技术储备，就是这些年来的行业开源情报储备。大量半公开信息和资料的检索、翻译和归类，比如合计近万页的涉及五种以上语言的技术资料、书籍、内部标准与体系资料等，协助RC²积累了非常全面的TSCM行业数据，也是RC²开启内部研究计划的主要依据。

为了让学员开始逐步理解TSCM体系，RC²将其中很多成果，分享在不同级别的TSCM专业课程中，比如：

LEVEL-2 商业秘密&隐私保护课程

作为RC²课程体系的基础课程，会通过威胁情报资料来讲述“TSCM”这个词的来源、背后故事及当前发展态势，并结合不断更新的真实商业窃密案例分析，来培养学员的商业反窃密检测基础。

杨叔TIPS：说到这里，杨叔一直觉得好笑的是：

Level-2课程只是揭开了TSCM技术体系的冰山一角，只有开始学习PPES系列课程才算进入真正的技术专家之路。而有那么几位仅仅参加过Level-2课程的学员，现已堂而皇之一边抄袭一边四处标榜自己是“TSCM专家”，真是让人哭笑不得~

......要知道，这样具备初级L2水平的学员，RC²已培养了四位数之多，而且课程内容一直在升级迭代中......更不用提，有的同学甚至已拿到好几个中高级PPES专家证书~

咳咳，欢迎新同学报名最新一期课程：

深圳，2025.09.13--09.14，Level-2课程

那些希望成为TSCM专家的中高级学员，会在进阶的PPES系列专家课程中，专注于某个具体技术领域的深入学习，比如：

PPES-101 固定电话反窃听检测专项课

课程会带领中高级学员从最早期的电话窃听案例里了解话机窃听原理，再逐步到现代IP电话窃听案件中的技术变化、威胁态势，加强对于酒店电话及企业IP电话的安全防护意识，并学习多种专业设备开展电话线路检测。

再比如2025新推出的专业课程（预计10月份正式发布）：

PPES-109 强弱电线路安全检测专项课

课程里，高级学员们会从上百页的PPT里，先了解前东德SATSI等情报机构部署的线路监视器材及原理，再学习如何检测现代线路监视器材，通过RC²积累的大量技术威胁情报和亲自上手的模拟检测实验，可以清晰地感受到真正TSCM检测专家面临的挑战。

而在同样新推出的：

PPES-201 智能手机隐私保护实践课

课程会向高级学员展示作为高净值个体，到底会面对哪些手机监听技术风险？通过威胁情报不断更新的真实案例中，及对攻击细节的描述，来协助学员理解风险并学习应对防御。

至于仅面向大型企业，培养专业TSCM检测团队的：

PPES-X 物理安全检测专家

专家团队课程中，更设置了全面深入的TSCM行业威胁情报课程，来协助学员们快速了解全球TSCM行业体系、国际标准、检测设备厂商资料、专业服务公司背景、行业协会、TS器材威胁等等，内容复杂，就不一一举例了。

最后，在「RC²内部威胁情报研究项目」中，每年都聚焦在更加深入的实战检测技术细节上，并在不断探索中，以及与不同行业不同国家的各类专家交流，来寻求更多技术盲区的答案。感兴趣可以私聊：）

PS：在杨叔看来，越研究越发现技术的颗粒度越多，也越觉得自身能力的不足，与其自己随意加个头衔YY，杨叔更相信唯有通过庞大的资料储备、实验研究与项目积累，才能慢慢成为业内认可的TSCM Specialist。

至少，杨叔在去年收到意大利TSCM协会会长主动颁发的“TSCM MASTER大师级证书”时，收到这位近70岁在冷战时期就从事TSCM的老专家认同，以及专门发的祝贺邮件来表示对RC²这些年来技术储备的鼓励，还是感动+惭愧不如的。

RC²反窃密实验室推出的这一套OSINT实用课程体系，完全基于标准化OSINT知识体系，通过RC²多年来自身需求驱动与在商业反窃密领域的积累和钻研，结合商业秘密保护行业真实案例，不断学习与总结而成的，独有的OSINT商战情报官课程~

感谢一直以来支持RC²的各大企业团队学员和数千位老学员们，老规矩，老学员上新课依旧福利满满哦~

也欢迎更多新同学们~

第一期小班课，仅限4~8人，限时优惠中~

抓紧时间占座哟，手快有手慢无，立刻扫码联系客服吧~