【安全圈】恶意代码潜入npm生态：40余个主流开发包遭供应链攻击劫持

关键词

恶意软件

一场精心策划的软件供应链攻击正在开发者社区悄然蔓延。网络安全研究人员近日发现，超过40个广泛使用的npm软件包遭到恶意篡改，攻击者通过自动化手段在这些包中植入了能够窃取开发凭证的后门代码。这起事件暴露出开源软件生态中依赖关系的脆弱性，也标志着软件供应链攻击正在向自动化、规模化演进。

隐蔽的自动化攻击链条

被劫持的npm包中包含一个特殊函数NpmModule.updatePackage，这个函数如同一个数字傀儡师，悄无声息地操纵着整个攻击流程。它会自动下载原始代码包，篡改关键配置文件，将恶意脚本bundle.js植入其中，然后重新打包发布。更令人担忧的是，这个过程完全自动化，使得攻击能够像病毒一样在依赖网络中自我传播。

这个藏在bundle.js中的恶意载荷堪称"数字间谍"。它会调用著名的安全工具TruffleHog来扫描开发环境，专门寻找那些珍贵的访问凭证：GitHub和npm的认证令牌、AWS云服务的密钥对，以及各类短期有效的云服务凭证。获取这些凭证后，攻击者甚至在受害者的GitHub仓库中部署自动化工作流，建立起持久的数据窃取通道。

双重威胁：供应链污染与凭证泄露

这次攻击的特殊之处在于形成了双重威胁机制。攻击者不仅通过篡改软件包污染了开发生态链，更狡猾地利用这些包在开发者机器上执行时窃取关键凭证。安全专家指出，这种攻击模式一旦成功，影响往往持续蔓延。即便最初受感染的包被清除，但那些被窃取的凭证如果未被及时发现和撤销，攻击者仍能通过这些凭证维持长期访问权限。

与此同时，Rust语言生态也拉响了安全警报。安全研究人员发现针对crates.io用户的钓鱼活动，攻击者注册了酷似官方域的rustfoundation[.]dev，发送伪装成安全警告的钓鱼邮件。这些邮件谎称crates.io平台遭到入侵，诱导开发者点击伪造的GitHub登录页面以窃取凭证。虽然相关钓鱼页面已被关闭，但这种针对开发者社区的精准钓鱼尝试值得高度警惕。

防御建议与应对措施

面对这类复杂的供应链攻击，开发者和企业需要建立多层防御。首要任务是立即检查项目依赖中是否包含已知受感染的npm包版本。所有可能暴露的访问凭证，包括但不限于GitHub令牌、npm认证密钥和云服务凭据，都应该立即进行更换。此外，建议启用依赖关系监控工具，对项目中的第三方库进行持续安全评估。

值得强调的是，这类攻击往往不是孤立事件。攻击者在成功渗透一个生态后，通常会持续扩大战果。开发社区需要做好长期应对准备，包括建立更严格的包发布审核机制，实施细粒度的访问控制，以及对关键凭证设置更短的有效期和更严格的访问权限。只有通过全方位的防护措施，才能在日益复杂的网络安全环境中保护好开放协作的软件开发生态。

安全圈

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！