npm 与 PyPI 出现伪装 Paysafe、Skrill SDK 的恶意包,开发者凭据面临窃取风险
据 BleepingComputer 于 2026 年 7 月 9 日发布的消息,Node Package Manager(npm)和 Python Package Index(PyPI)上出现了伪装成 Paysafe、Skrill、Neteller 相关 SDK 的恶意软件包。这些包面向支付应用的开发者与使用者传播窃密程序,可能导致账号凭据等敏感信息被盗。对于依赖海外支付平台、跨境收款工具或远程协作开发环境的用户而言,这类事件的风险不只在“装错依赖”,还可能进一步影响支付账号安全、API 接入环境以及团队开发链路。
事件核心:恶意包借支付 SDK 名义进入开发流程
来源显示,本次问题涉及 npm 与 PyPI 两个常用开源包仓库。攻击者将恶意软件包伪装成 Paysafe、Skrill、Neteller 等支付应用相关 SDK,利用开发者在集成支付功能时搜索、安装依赖的习惯,将窃密程序投放到项目环境中。
这类攻击的危险性在于,SDK 通常会被认为是连接支付平台的“官方或半官方组件”。一旦开发者在测试、部署或本地调试中引入恶意包,攻击面可能从单个开发终端扩展到项目配置、环境变量、接口密钥、登录会话甚至后续构建产物。跨境支付相关项目往往同时涉及账户、收款、结算和身份验证信息,因此窃密类恶意包的后果可能比普通依赖污染更直接。
对跨境用户和开发团队的实际影响
对于普通跨境用户来说,Paysafe、Skrill、Neteller 等工具通常与海外平台充值、收款、数字服务订阅或账户资金流转有关。虽然本次来源主要指向开发者和相关应用使用者,但如果恶意组件进入第三方工具、插件、自动化脚本或内部系统,最终也可能波及终端用户的账号安全。
对开发团队而言,风险更集中在供应链环节。很多远程办公团队会在不同国家和网络环境下协作开发,依赖包安装、测试密钥配置、CI/CD 构建和支付接口联调都可能分散在多台设备上。若缺乏统一的依赖审核和凭据管理,某个成员误装恶意包,就可能造成整个项目的安全短板。
- 支付账号风险:与 Skrill、Neteller、Paysafe 相关的登录信息、会话或配置一旦泄露,可能影响资金类账户安全。
- API 与密钥风险:开发环境中的环境变量、测试密钥、回调地址配置可能被窃取,用于后续冒用或探测。
- 远程办公风险:分布式团队如果缺乏依赖锁定和安装审计,恶意包更容易在多环境传播。
- 访问环境风险:跨境网络环境复杂,开发者有时会使用代理、云主机或临时设备调试支付接口,增加排查难度。
为什么支付类“假 SDK”更值得警惕
相比普通工具库,支付 SDK 天然会接触身份验证、交易请求、商户配置和回调逻辑。攻击者伪装成支付相关包,正是利用开发者对“快速接入官方能力”的需求。尤其在 npm 和 PyPI 这类生态中,包名相似、说明页仿冒、版本更新伪装等方式,都会让不熟悉官方渠道的开发者误判。
跨境业务团队在接入海外支付通道时,不应只关注通道费率和到账体验,也要把依赖来源作为安全检查的一部分。如果项目中已经安装过名称可疑的 Paysafe、Skrill、Neteller 相关包,应尽快核对来源、清理依赖,并检查本地与服务器环境中是否存在异常访问、异常进程或未知外连行为。
建议:从账号、依赖和环境三方面排查
基于此次事件,跨境开发者和运营团队可以优先做几项低成本检查:确认支付 SDK 是否来自官方文档指定渠道;检查 package.json、requirements 文件及锁定文件中是否存在不熟悉的支付相关包;对曾在相关环境中使用过的密码、令牌、API Key 进行轮换;避免在个人电脑、公共网络或未经管理的远程主机上保存生产密钥。
同时,团队应为海外平台账号启用多因素验证,并尽量区分测试与生产凭据。VPN、专线或固定出口等工具只能帮助稳定访问环境,不能替代依赖审计和账号安全策略。真正的防护重点,是确认代码依赖可信、凭据最小化暴露、异常访问可被及时发现。