最近几年骇客入侵开发团队的帐号并冒名上传恶意套件的情况，已有多起事故传出，如今类似的攻击行动再度出现，引起研究人员的关注。

资安业者Aikido Security揭露针对React Native Aria生态系统的NPM供应链攻击，这起事故发生于6月6日晚间，骇客疑似透过其中一个外流的维护人员帐号Token，发布16个React Native和GlueStack套件的恶意版本。由于这些套件相当热门，每週下载超过100万次，影响的範围可能非常广泛。

React Native Aria生态系统是基于React Native 的程序库和工具，能够协助开发者建构跨平台的使用者介面（UI），具备能灵活自定、整合网页应用程序常见的W3C ARIA Authoring Practices Guide实作标準，从而提升使用者体验，扩展用户群体。

对于这起事故发生的过程，Aikido Security以其中最早被窜改的NPM套件@react-native-aria/focus为例，骇客更动了lib/commonjs/index.js，并在第46行植入恶意程序码。为了让资安人员难以察觉，攻击者使用大量空白字元混淆手法，将有问题的程序码隐匿于萤幕难以显示的地方。研究人员经过调查，确认是曾经锁定另一个套件rand-user-agent的RAT木马程序。

附带一提的是，这次研究人员看到的木马程序，还是存在一些差异。其中最大的不同点，就是具有备援C2服务器，并能够根据程序码的版本进行切换；再者，新的木马程序能搜括受害电脑的系统资讯，并发出外部请求与回传指定IP位址的资讯。