The Hacker News 網站披露，攻擊者在 npm 開源軟件包存儲庫中“投放”大量偽造的軟件包，這些軟件包導致了短暫拒絕服務（DoS）攻擊。

Checkmarx 的研究人員 Jossef Harush Kadouri 在上周發布的一份報告中表示，攻擊者利用開源生態系統在搜索引擎上的良好聲譽，創建惡意網站并發布帶有惡意網站鏈接的空包，此舉可能導致拒絕服務（DoS）攻擊，使 NPM 變得極不穩定，甚至偶爾會出現服務不可用的“錯誤”。

在最近觀察到的一波攻擊活動中，軟件包版本數量達到了 142 萬個，顯然比 npm 上發布的約 80 萬個軟件包數量大幅上升。

Harush Kadouri 解釋稱攻擊者“借用”開源存儲庫在搜索引擎中排名創建流氓網站，并在 README.md 文件中上傳空的 npm 模塊和指向這些網站的鏈接。由于開源生態系統在搜索引擎上享有盛譽，任何新的開源軟件包及其描述都會繼承這一良好聲譽，并在搜索引擎中得到很好的索引，因此毫無戒心的用戶更容易看到它們。

值得注意的是，鑒于整個攻擊過程都是自動化的，眾多虛假軟件包同時發送產生的負載導致 NPM 在 2023 年 3 月底時間歇性地出現了穩定性問題。

Checkmarx 指出，此次攻擊活動背后可能有多個威脅攻擊者，其最終目的也略有差別，大致可分作為以下三種：

• 第一是利用 RedLine Stealer、Glupteba、SmokeLoader 和加密貨幣礦工等惡意軟件感染受害者的系統；
• 第二是使用惡意鏈接會將用戶索引至類似速賣通這樣的具有推薦 ID 的合法電子商務網站，一旦受害者在這些平臺上購買商品，攻擊者就會獲得分成利潤；
• 第三類則是邀請俄羅斯用戶加入專門從事加密貨幣的 Telegram 頻道。

最后，Harush Kadouri 強調攻擊者會不斷地利用新技術來發動網絡攻擊活動，因此在同毒害軟件供應鏈生態系統的攻擊者進行斗爭具有很強的挑戰性， 為了防止此類自動化攻擊活動，建議 npm 在創建用戶帳戶時采用反機器人技術。