npm 生态系统再次遭到持续性 Skuld 信息窃取程序的渗透，这是一种臭名昭著的恶意软件，以开发人员为目标，提供欺骗性软件包。Socket 的威胁研究团队揭露了这一由威胁行为者 “k303903 ”领导的活动，它对个人开发者和组织都构成了重大风险。

这次攻击利用伪装成合法工具的 npm 软件包，包括 windows-confirm、windows-version-check、downloadsolara 和 solara-config。这些软件包在被删除前被下载了 600 多次，危及了大量开发机器。报告强调，这表明 “即使是低复杂度的攻击也能迅速获得牵引力”。

Socket 研究人员注意到，混淆、错别字和依赖商品恶意软件的模式一再出现，这与一个月前针对 Roblox 开发人员的类似攻击如出一辙。报告指出：“Skuld 信息窃取程序重返 npm 凸显了一种反复出现的模式：攻击者获得立足点，取得短暂成功，然后迅速调整，以新的打包和分发策略重新引入威胁。”

威胁方利用 Obfuscator.io 隐藏恶意代码并逃避检测。安装后，托管在URL上的有效负载会被悄悄执行，而URL的设计看起来是合法的（包括冒充Cloudflare的域）。此外，该攻击还使用 Discord 网络钩子进行数据外渗，混入合法的通信和测试环境。

这一活动体现了威胁行为者如何利用可信供应链传播恶意软件。攻击者伪装成生产力和开发工具，欺骗开发人员在不知情的情况下执行恶意代码。

npm 注册表迅速采取行动，在数天内删除了恶意软件包。然而，受影响用户受到的影响仍然很大。报告警告说：“凭证、令牌和其他敏感数据很可能被窃取，从而危及个人开发者和组织网络。”即使是像这次这样短暂的攻击活动也会造成长期后果，因为被泄露的凭证可能在攻击结束后很长时间仍会被利用。