关键信息 漏洞描述 - 影响: npm 账户 在 2025 年 9 月 8 日被接管,导致版本 中包含恶意软件。该恶意软件尝试在浏览器环境中重定向加密货币交易到攻击者的地址。 - 受影响版本: - 修复版本: 严重性: Critical CVE ID: CVE-2025-59140 弱点: CWE-506 补丁措施 - npm 已从注册表中移除恶意包,防止进一步下载。 - 包所有者发布新版本以帮助清除缓存中的恶意版本。 - 用户应升级到最新版本,删除 目录,清理全局缓存,并重新构建浏览器捆绑包。 参考链接 - npm-debug-and-chalk-packages-compromised - npm-author-qix-compromised-in-major-supply-chain-attack - npm-packages-compromised 联系点 - 包所有者: Bluesky, package owner - 跟踪问题: debug-js/debug#1005