关键信息 漏洞描述 - 包名: color-name (npm) - 受影响版本: 2.0.1 - 修复版本: 2.0.2 - 严重性: Critical - CVE ID: CVE-2025-59145 - 弱点: CWE-506 影响 - 2025年9月8日,color-name的npm发布账户在钓鱼攻击后被接管。发布的2.0.1版本包含恶意软件,试图从浏览器环境中重定向加密货币交易到攻击者的地址。 - 本地环境、服务器环境、命令行应用等不受影响。如果在浏览器上下文中使用(如直接 引入或通过Babel、Rollup、Vite、Next.js等捆绑工具),恶意软件可能仍存在,需要重新构建。 修复措施 - npm已从注册表中移除恶意包,阻止进一步下载。 - 2025年9月13日,包所有者发布了新补丁版本以帮助清除私有注册表中的缓存。 - 用户应更新到最新补丁版本,完全删除 目录,清理包管理器的全局缓存,并从头重建任何浏览器捆绑包。 参考资料 - Aikido Dev博客 - Socket Dev博客 - Ox Security博客 联系点 - 被攻破的发布账户所有者: Bluesky - debug仓库跟踪问题: debug-js/debug#1005