摘要:5月19日,一场针对npm生态的精准攻击事件爆发,微型蠕虫在半小时内控制关键账户并推送大量恶意版本,影响涵盖数据可视化、金融与加密领域核心组件,威胁波及数百万开发者环境。
币圈界报道:
5月19日开源包供应链遭恶意蠕虫入侵
5月19日,一种名为Mini Shai-Hulud的蠕虫在短短30分钟内攻陷某npm维护者账号,并向323个软件包推送共计639个恶意版本。该账户负责管理阿里巴巴旗下AntV全系列数据可视化工具链,以及多个应用于加密货币仪表盘、去中心化金融前端和金融科技系统的独立库。
高流量组件遭劫持,自动化部署触发风险
受冲击最严重的模块包括周下载量达420万次的size-sensor、110万次的echarts-for-react、220万次的@antv/scale,以及115万次的timeago.js。当开发环境执行全新安装时,采用语义版本范围的项目将自动拉取被污染的恶意版本,形成广泛传播路径。
双重通道外传敏感信息,持久化机制隐蔽
该恶意程序具备多维度信息窃取能力,可提取超过20类敏感凭证,涵盖云服务访问密钥、代码托管平台令牌、数据库连接字符串及本地密码管理器存储内容。其数据外泄采用双通道策略:先加密传输至命令控制服务器,同时利用窃取的权限创建公开代码仓库作为备用信道。
在基于Linux的系统中,蠕虫会建立常驻系统服务以实现持久驻留,即便软件包被卸载亦能持续运行。此外,它还会篡改开发环境配置文件,确保自身在重启后仍可激活。
攻击链路持续迭代,仿制变种已现端倪
此次事件为该攻击模式的第三轮升级。监测显示,攻击者已渗透多个主流软件包仓库,相关组织曾在暗网论坛公开其攻击工具。目前已有使用不同控制服务器的仿制变种出现,表明攻击行为正朝规模化与多样化方向演进。
安全团队建议所有受影响环境视作已完全失陷,必须立即执行凭证轮换、访问令牌撤销、启用多因素认证,并对代码仓库开展全面异常活动审计。
声明:本站所有文章内容,均为采集网络资源,不代表本站观点及立场,不构成任何投资建议!如若内容侵犯了原著者的合法权益,可联系本站删除。