据介绍，黑客通过钓鱼邮件入侵知名开发者 Josh Junon（用户名 qix）等人的账户，在至少 18 个高频下载包中注入恶意代码，这 18 个受影响的包周下载总量达 26 亿次。 qix 表示，他收到的钓鱼邮件来自 support@ npmjs.help （npm 官网实际为 npmjs.com ），声称用户需要更新 2FA 认证，否则账户将在 2025 年 9 月 10 ...