攻击者向npm官方仓库上传了名为
lodash-utils的恶意包,版本号为1.0.1。该包名称与知名工具库lodash高度相似,利用
typosquatting(域名抢注)诱导开发者误下载。包内
package.json的postinstall脚本被篡改,在安装时自动执行恶意载荷。载荷首先从远程C2服务器(jq.freevip44.top)下载第二阶段payload,通过
PowerShell反射加载,实现持久化。
该恶意包在发布后72小时内被下载超过3000次,目标企业的一名前端开发者在执行npm install时无意中引入了该依赖。