文章总结： 安全公司披露恶意npm包ambar-src通过拼写劫持伪装热门包，下载量达5万次。攻击者利用preinstall脚本针对Windows、Linux和macOS实施跨平台攻击，植入反向shell或窃取数据。该攻击隐蔽性强，受感染主机被视为完全失陷。建议开发者轮换凭证、排查后门，并采取锁定依赖版本与启用完整性校验等供应链安全防护措施。 综合评分： 86 文章分类： 恶意软件,供应链安全,漏洞预警,安全建设

【安全圈】恶意npm包“ambar-src”投毒Windows、Linux与macOS

安全圈

2026年2月28日 19:02 美国

关键词

恶意软件

安全公司 Tenable Research 披露，一个名为 “ambar-src” 的恶意 npm 包在被下架前已累计约 5 万次下载，针对 Windows、Linux 与 macOS 开发者发起跨平台攻击。该包利用典型的 typosquatting（拼写劫持）手法，伪装成下载量超千万的热门包 ember-source，诱导开发者误装。

攻击者于 2 月 13 日先发布无害版本建立“信誉”，在积累近 3 万次下载后，于 2 月 16 日更新植入恶意代码。其核心利用 npm 的 preinstall 脚本机制——只要执行 npm install ambar-src，恶意载荷即被触发，开发者甚至无需手动调用代码。

不同系统对应不同攻击链：Windows 会下载并执行名为 msinit.exe 的文件，加载加密 shellcode；Linux 拉取 ELF 二进制“osa”，被识别为 Golang 反向 shell“reverse_ssh”客户端；macOS 则通过 osascript 下载 500KB 的 JavaScript 载荷，被确认是来自 Apfell 的组件，可窃取 Chrome 数据并弹出伪造密码框。初始载荷从 x-ya.ru 获取，后续 C2 通信则通过 function.yandexcloud.ru 中继，借助正常云服务流量掩护。

研究人员指出，该样本是此前“eslint-verify-plugin”攻击活动的升级版，加入十六进制混淆与代码伪装技术，隐蔽性更强。虽然 npm 在恶意版本上线不到 5 小时内将其移除，但已感染主机应被视为“完全失陷”。仅卸载包远远不够，必须在干净设备上轮换所有密钥与凭证，并排查持久化后门。

这一事件再次说明，供应链攻击正在向更精细化与长期化演进。对开发团队而言，锁定依赖版本、启用软件源完整性校验与内部镜像审核机制，已不再是可选项，而是基本防线。

END

阅读推荐

【安全圈】Python 热门 ORM 爆出 9.8 分致命漏洞，数据库或被完全读取

【安全圈】罗马尼亚黑客被引渡至美国，承认入侵俄勒冈州政府网络并实施身份盗窃

【安全圈】微软披露新型木马攻击：伪装游戏工具植入RAT，远程窃取数据

【安全圈】新型安卓RAT“Oblivion”曝光：$300即可买断，自动绕过权限与隐藏远程控制

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈 《【安全圈】恶意npm包“ambar-src”投毒Windows、Linux与macOS》