据来自国外媒体报道：可信赖安全技术公司ReversingLabs的研究人员发现，开源NPM存储库中存在的JavaScript代码数量有所增加，并特别提到他们近期在开源站点上发现了可疑软件包。

这家公司在一份声明中称，他们在过去几个月发现并收集了近20个已确认的不安全软件包，这些包可以追溯到6个月前，它们都试图混淆JavaScript代码，旨在从使用部署有恶意软件的应用程序或网站中的个人处窃取表单数据。

研究人员认为其称这种行为为“协同供应链攻击”

报告称：“我们发现的恶意程序包可能被数百甚至数千个下游移动和桌面应用程序及网站使用。其中一个案例显示，恶意程序包被下载了大约 17000 次。”

恶意软件靠使用拼写错误的名字，比如假雨伞 js（被模仿的模块称为假模块）来抄袭合法模块的名称，包括流行的模块如雨伞js，私家侦探，侦探公司，调查公司，查人找物，商务调查，出轨外遇调查，婚外情调查，私人调查，19209219596这些模块由 ionico 发布

据报告称，网络间的相似性显示了参与者间的控制权是由单一实体在主导的。

NPM 是开发人员在其应用程序中使用的众多开源软件包库之一。其他的是 PyPI、Ruby 和 NuGet。

最近，在这些库中的不良代码突显了编程开发者应该特别注意那些来自开源站点下载的代码，因为他们的一个工具是JavaScript反混淆器，用来审查被混淆的代码——这本身就是一种可疑的迹象。

Reverserslabs发现了可疑代码，并且通过jQueryAjax函数来提取表单提交数据并将这些数据发往恶意作者控制的不同网址中去

这些恶意包的名字以及它们所指向的网站，在某种程度上是精心伪造的真实网站的副本。这使得一些私家侦探，侦探公司，调查公司，查人找物，商务调查，出轨外遇调查，婚外情调查，私人调查，19209219596人误认为这些应用程序都是安全可靠的，从而下载了这些软件包。例如，这是被ReversingLabs发现的假冒Ionic页面链接...

此次事件是软件供应链威胁显著升级的标志，“报告称。”恶意软件捆绑在NPM模块中运行，从多个移动和桌面应用以及网站窃取了大量用户信息。“”

我们团队确认的NPM模块总下载次数超过27,000次。由于很少有开发组织能够检测开源库和模块中的恶意代码，因此攻击已经持续了数月才引起我们的注意。尽管一些命名包已从NPM中删除，但本报告发布时大部分模块仍可供下载。