官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
攻击事件概述
安全研究团队Socket发现npm仓库遭遇新型供应链攻击,波及多个维护者旗下的40余个软件包。研究人员首先在每周下载量达220万次的**@ctrl/tinycolor**软件包中检测到恶意更新,深入调查后揭露了这场规模更大的攻击活动。
攻击技术分析
恶意代码通过以下方式实施攻击:
- 篡改package.json文件
- 注入本地脚本
- 重新发布被篡改的压缩包
- 自动感染下游项目
攻击核心组件bundle.js的执行流程包括:
- 下载合法的密钥扫描工具TruffleHog
- 对主机进行环境探测
- 扫描文件及代码库中的令牌与云凭证
- 验证并盗用开发者/云服务凭证
- 利用可用PAT(个人访问令牌)部署GitHub Actions工作流
- 将窃取数据(base64编码)外传至预设Webhook
数据窃取机制
恶意脚本会扫描以下敏感信息:
- 环境密钥(GITHUB_TOKEN、NPM_TOKEN、AWS密钥等)
- 通过
whoami端点验证npm令牌有效性 - 探测云元数据端点(AWS/GCP)获取构建代理的临时凭证
- 植入持久化GitHub Actions工作流,持续窃取CI流程中的敏感数据
Socket报告指出:"该工作流在代码库中的存续时间超过初始感染周期。一旦提交,后续所有CI运行都可能触发管道内的数据外泄步骤,这些管道按设计本就可访问敏感密钥和构建产物。"
防护建议
研究人员已公布本次攻击的IoC(入侵指标),并建议开发者:
- 卸载或锁定安全版本软件包
- 审计开发及CI/CD环境
- 轮换npm令牌和已暴露的密钥
- 监控日志中的异常npm活动
参考来源:
New supply chain attack hits npm registry, compromising 40+ packages
本文为 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf
客服小蜜蜂(微信:freebee1024)