惡意NPM套件藉自動化流量灌水下載量，偽裝成活躍維護專案

研究人員在惡意套件ambar-src案例中發現，攻擊者曾在兩小時內密集發布428個看似正常的版本，3天後才上傳含有惡意程式碼的新版本，該套件後來累積至724個版本，下載量也被推升至約5萬次。

這項研究顯示，下載量、更新頻率與版本數量等指標，並不足以單獨作為判斷開源套件是否可信的依據。Tenable指出，許多開發者與安全工具仍會參考NPM套件的下載統計、版本歷史與維護活躍程度，快速評估套件可信度，但這些看似正常的訊號其實都可能被刻意製造。

研究人員建議，企業除了檢查套件維護者背景、原始碼內容與相依關係，也應建立完整的套件資產清單與環境監控機制，持續留意異常更新行為。企業也可採取版本釘選策略，對新套件或新版套件設定3至4天等待期，再允許導入環境，並採用一次性CI/CD執行環境、限制建置流程對外連線，以降低惡意套件進入軟體供應鏈後，竊取權杖或機密資料的風險。