IT酷哥 6 月 10 日消息，近年来黑客入侵开发团队账号并冒用他们身份散布恶意软件包的事件屡见不鲜，参考安全公司Aikido Security通报，有黑客在 6月6日盗用 React Native、GlueStack 项目维护人员的身份凭证（Token），在NPM平台上传了16个带有恶意代码的软件包，相应软件包下载量据称“每周超过一百万次”，影响范围较为广泛。

根据安全公司分析，其中最早被篡改的NPM软件包为@react-native-aria / focus。黑客在其lib / commonjs / index.js文件第46行植入了恶意代码。为了逃避安全检测，黑客采用了大量空白字符进行混淆处理，使得这些恶意内容在代码显示上几乎不可见。研究人员进一步确认，该恶意代码是曾被用于另一软件包rand-user-agent的远程访问木马（RAT）。

值得一提的是，本次木马程序与以往收集到的实例相比，在功能上出现了明显差异。最大的变化是其“进化”引入了备用的C2（命令与控制）服务器机制，可根据代码版本切换通信地址；此外，新版本木马还具备收集被感染设备系统信息的能力，能够向指定IP地址发送数据请求并回传敏感信息。