【转发】[email protected] npm 供应链投毒预警,以及个人防护建议
来源: V2EX · 2026-03-31
[email protected] 遭投毒,引入恶意包 [email protected],三平台(Win/Mac/Linux)均有后门,使用 Cursor、Claude Code 等 AI CLI 工具的用户同样受影响。
快速自查
复制
# 检查恶意依赖 ls node_modules/plain-crypto-js 2>/dev/null && echo "⚠️ 中招了!" # macOS ls /Library/Caches/com.apple.act.mond 2>/dev/null && echo "⚠️ COMPROMISED" # Linux ls /tmp/ld.py 2>/dev/null && echo "⚠️ COMPROMISED"
复制
:: Windows dir "%PROGRAMDATA%\wt.exe" 2>nul && echo COMPROMISED
目前 npm 已下架该版本,请锁定版本至
1.13.x以下。
长期防护建议,公司内部已经要求这样做了
个人:安装 Aikido Safe Chain
每次 npm install 前自动扫描漏洞,免费无需注册。
复制
npm install -g @aikidosec/safe-chain safe-chain setup
项目:迁移至 pnpm + 设置冷却期
在 pnpm-workspace.yaml 中添加以下配置,禁止安装发布未满 48 小时的包,阻断零日攻击时间窗口:
复制
minimumReleaseAge: 2880 # 单位:分钟(= 48 小时)
庆幸用不上。😂