npm被當成釣魚基礎設施，27個惡意套件鎖定企業帳密

事件重點

聚焦開源軟體供應鏈安全的美國資安新創 Socket 近日揭露一起高度客製化的魚叉式網釣攻擊行動，駭客利用6個不同的 npm 帳號，上傳至少27個惡意 npm 套件，這些套件被用於投放可在瀏覽器中執行的釣魚頁面，先偽裝成企業文件分享流程，再引導至仿冒的微軟登入畫面，以竊取受害者的微軟帳號憑證。

這些惡意套件設計為在前端環境中載入並觸發釣魚介面，攻擊者以企業文件分享的情境作為誘因，讓使用者在受害頁面上輸入憑證，以達成竊取目的。

企業及開發者應強化對第三方套件的信任與審核，監控 npm 上的異常套件上傳與變更；避免在不信任的頁面輸入敏感資訊，並採取多因素認證、反釣魚教育與相應的網頁防護措施，以降低釣魚行為的風險。