npm注册表中发现恶意pgserve与automagik开发工具

应用程序开发者近日收到警告：恶意版本的pgserve（一款用于应用开发的嵌入式PostgreSQL服务器）和automagik（一款AI编程工具）已被上传至npm JavaScript注册表，可能危害开发者的计算机安全。

下载并使用这些恶意版本将导致数据、Token、SSH密钥、凭证（包括亚马逊云服务AWS、微软Azure及谷歌云平台GCP的相关凭证）、浏览器加密钱包中的数字货币以及浏览器保存的密码遭到窃取。此外，该恶意软件还会向其他与受感染机器相连的电脑扩散。

上述警告本周由两家安全公司的研究人员相继发出。

Socket公司的研究人员发现了针对应用开发者的伪造软件包，目标对象是寻找pgserve（一款用于应用开发和测试的嵌入式PostgreSQL服务器）和automagik（Namastex.ai开发的一款AI编程及智能体编排命令行工具）的开发者。研究人员指出，此次攻击与近期一场名为"CanisterWorm"的攻击活动存在相似之处——后者是一种蠕虫式供应链攻击，通过将npm上合法软件包的内容替换为恶意代码来实施破坏。

在Socket完成审查时，伪造的automagik/genie软件包显示每周下载量为6744次，伪造的pgserve软件包每周下载量约为1300次。

Socket发布安全公告时，automagik的恶意版本涵盖4.260421.33至4.260421.39，且新的恶意版本仍在持续发布和被识别中。研究人员表示，受影响版本的完整范围、涉及的维护者及版本发布路径是否遭到入侵，目前仍在调查之中。

与此同时，StepSecurity公司的研究人员也在npm上发现了pgserve的恶意版本。他们指出，受感染版本（1.1.11、1.1.12和1.1.13）中注入了一段长达1143行的凭证采集脚本，该脚本会在每次安装时通过postinstall钩子自动运行。

据StepSecurity介绍，pgserve最后一个合法发布版本为v1.1.10。

StepSecurity强调，与普通信息窃取软件不同，这款恶意软件实质上是一种供应链蠕虫：一旦在受害者机器上找到npm发布Token，它便会立即将自身注入该Token有权发布的所有软件包，从而进一步扩大感染范围。被盗数据经加密后，会被传输至去中心化互联网计算机协议（ICP）的容器端点——这是一种托管于区块链上的计算节点，之所以被特意选用，正是因为执法部门或域名封堵手段都无法将其下线。

这是软件供应链攻击的最新案例。在此类攻击中，威胁行为者希望开发者从开源注册表下载受感染的工具，并将其集成到软件包中，从而使恶意代码得以大范围传播。

在近期案例中，上个月就有黑客入侵了Axios HTTP客户端库首席维护者的npm账户；去年夏天，攻击者还入侵了npm上的多个JavaScript测试工具。

加拿大安全编码咨询机构SheHacksPurple负责人Tanya Janca表示，已下载恶意版本pgserve和automagik的开发者必须立即采取行动。

"在做任何其他事情之前，立刻轮换你能想到的所有凭证，"她说，"然后强化CI/CD网络出口控制，确保构建运行器只能访问其明确需要的域名。确保构建运行器和部署运行器使用拥有独立权限的独立服务账户。目标是确保即便有恶意软件包在构建环境中运行，它也无法连接攻击者的基础设施（用于窃取数据和密钥），并阻止其渗透到部署流水线中。"

为防止任意恶意npm软件包造成危害，Janca建议IT管理者默认禁用postinstall脚本的自动执行。

开发者还应立即运行以下命令：npm config set ignore-scripts true。她承认，这样做偶尔会导致部分合法软件包出现问题，但其目的是制造一个有意识的摩擦点，迫使开发者主动判断某个脚本是否允许在其机器上运行。

此外，她表示，开发者还需要借助工具来核验发布到npm上的内容是否与源代码仓库中的内容完全一致。"并非所有软件成分分析工具都能做到这一点，"Janca说，"因此，要专门询问你的供应商，该工具是否能检测出注册表与代码仓库之间的内容差异。"

最后，她建议对发布Token实施最小权限原则：严格限定Token的使用范围，仅赋予其针对某一特定软件包所需的权限，并定期自动轮换，而非依赖人工操作。

"人们往往把这类事件定性为凭证窃取，"Janca说，"但它实际上可能导致整个组织被完全接管，且攻击会分阶段展开。第一阶段，攻击者在安装时获取你的所有密钥：AWS密钥、GitHub Token、SSH密钥、数据库密码，以及环境变量或主目录中存储的一切。第二阶段，如果你拥有npm发布Token，蠕虫会立即利用它将自身注入你有权发布的每一个软件包，这意味着你的下游用户也随之成为受害者。第三阶段，被盗的云凭证被用于渗透你的基础设施：创建资源、窃取数据、在账户间横向移动。第四阶段，你的CI/CD流水线对运行器和服务账户隐式信任，攻击者的恶意代码就此被引入生产环境。"

她还指出，开发者往往需要很长时间才能察觉此类攻击，"而在此之前，攻击者可能已经访问了源代码、生产系统、客户数据，以及用户所依赖的软件。"

Forrester Research高级安全与风险分析师Janet Worthington表示，近期的CanisterSprawl攻击活动和Namastex.ai npm软件包遭入侵事件，表明威胁行为者正在向自我传播型恶意软件的方向转变——这类软件能够窃取凭证，并利用凭证自动感染其他软件包。

"这种行为与早期的Shai-Hulud蠕虫爆发如出一辙，后者通过采集npm Token并以受感染维护者的身份重新发布木马化版本，在数百个软件包中蔓延，"她在一封电子邮件中表示。

她指出，尽管npm等开放注册平台正在针对发布者账户和Token引入更强的保护措施，但这些事件清楚表明，入侵的影响早已不再局限于单一恶意软件包，而是会在注册表生态系统中迅速级联扩散，甚至蔓延至其他生态系统。"企业应通过维护经过审查的私有注册表、在流水线中自动化运行软件成分分析，以及使用依赖防火墙来限制暴露范围和影响半径，确保只有经过审核的开源和第三方组件才能被使用，"Worthington说。

Janca还指出，开发者处于源代码、云基础设施、CI/CD流水线和发布凭证的交汇处，因此入侵一名开发者，可能意味着入侵其所维护的每个软件包的所有用户，乃至整个组织。近几个月来，包括此次在内的多起攻击还同时将个人加密钱包作为攻击目标，与企业凭证一并窃取。"这说明，"她表示，"攻击者清楚地了解攻击对象的特征，并以最大化单次攻击收益为目标进行了针对性优化。"

Q&A

Q1：npm注册表中的恶意pgserve和automagik软件包会造成哪些危害？

A：下载并使用这些恶意版本后，攻击者可窃取Token、SSH密钥、AWS/Azure/GCP等云平台凭证、浏览器加密钱包中的数字货币及保存的密码。更危险的是，该恶意软件是一种供应链蠕虫，一旦找到npm发布Token，会自动将自身注入受感染维护者有权发布的所有软件包，并向其他连接的电脑扩散，可能导致整个组织被完全接管。

Q2：开发者如何判断自己是否下载了恶意版本的pgserve？

A：根据研究人员披露的信息，pgserve的恶意版本为1.1.11、1.1.12和1.1.13，最后一个合法版本为v1.1.10。automagik的恶意版本涵盖4.260421.33至4.260421.39，且新的恶意版本仍在持续发布中。开发者可通过核查本地已安装的版本号来判断是否受到影响，并建议立即检查并轮换所有相关凭证。

Q3：如何防止npm恶意软件包攻击？有哪些具体操作建议？

A：主要防护措施包括：立即运行`npm config set ignore-scripts true`禁用postinstall脚本自动执行；强化CI/CD网络出口控制，限制构建运行器只能访问必要域名；为构建和部署运行器设置独立服务账户；使用能检测注册表与代码仓库内容差异的软件成分分析工具；对发布Token实施最小权限原则并定期自动轮换；企业还应维护经过审查的私有注册表并部署依赖防火墙。