恶意软件攻击16个React Native npm 软件包，100万次下载量面临风险

近日，安全研究人员发现了一场针对React Native开发者的恶意软件攻击活动，涉及16个被篡改的npm软件包，这些包累计下载量已超过100万次，可能对依赖这些组件的应用程序造成严重安全威胁。以下是关键信息梳理： 攻击细节 恶意包列表 被确认的恶意包包括： @react-native-community/cli-platform-ios @react-native/assets @react-native/normalize-color 其他伪装成官方库的变体（如拼写相近的仿冒包）。 攻击手法 依赖混淆攻击：攻击者利用开发者可能拼错官方包名的漏洞，上传名称相似的恶意包（如react-native-auth vs官方@react-native/auth）。 代码注入：部分包在安装时执行预安装脚本（preinstall），从远程服务器下载恶意载荷，窃取环境变量或敏感数据。 供应链攻击：攻击者可能通过入侵维护者账户或劫持废弃包的方式发布恶意更新。 风险影响 数据泄露：恶意代码可能窃取API密钥、开发凭证或用户信息。 后门风险：攻击者可远程控制受影响应用，执行任意代码。 波及范围：主要影响移动端（Android/iOS）React Native应用，尤其是未严格检查依赖来源的项目。 应对建议 立即检查依赖项 运行 npm ls <包名> 或 yarn why <包名> 确认是否使用了受影响版本。 对比官方包列表（如React Native官方文档推荐的依赖项）。 修复措施 升级到官方最新版本，或直接替换为可信源（如GitHub仓库验证过的版本）。 锁定依赖版本：在package.json中明确指定版本号，避免自动安装最新可能被污染的版本。 安全加固 启用npm/yarn的双重认证（2FA）防止账户劫持。 使用npm audit或第三方工具（如Snyk、Sonatype）扫描项目漏洞。 限制CI/CD管道权限，避免构建时自动执行高风险脚本。 背景补充 React Native生态风险：由于其跨平台特性，恶意依赖可能同时影响iOS和Android应用，且移动端更难实时更新修复。 npm供应链问题：2023年类似攻击频发（如ua-parser-js事件），凸显开源软件包维护和验证的挑战。 建议开发者尽快排查项目依赖，并持续关注官方安全通告（如React Native博客或npm安全公告）。对于企业用户，应考虑引入自动化依赖监控工具以降低长期风险。