币圈界报道：

“沙虫”恶意软件借代码分发链渗透开发者生态

一场以科幻巨兽命名的恶意软件活动——“沙虫”，正在全球开发者依赖的代码分发管道中悄然扩散，暴露出当前软件基础设施对自动化系统过度依赖而缺乏人工审查的脆弱性。

核心代码仓库遭劫持，数亿次下载受波及

研究人员确认，“沙虫”已关联至约320个被污染的软件包条目，主要分布于Node.js的包管理器与Python的PyPI平台。这些被植入恶意逻辑的组件每月累计被下载超过5.18亿次，覆盖广泛的技术栈与企业级应用。

信任链被颠覆：一个漏洞可引爆整个生态

专家指出，该攻击最危险之处在于其利用了开发者对“可信来源”的默认信任。一旦恶意代码嵌入某个冷门依赖项，便可通过层层传递影响所有下游项目，形成横向扩散的网络效应。攻击者借此获取凭证、部署更多恶意模块，并持续扩大控制范围。

人工智能工具成新突破口，隐蔽性极强

本月初，微软披露一起针对特定AI软件包的入侵事件，攻击者将伪装成主流机器学习库的恶意文件注入构建流程。尽管相关公司声明未发现核心系统受损，但已有两名员工设备被攻陷，导致有限内部代码库暴露风险。

攻击者手法透明：代码复刻暴露身份特征

研究团队发现，沙虫的恶意版本几乎完全复制原始泄露源码，未使用任何混淆或加密手段，视觉上与原版几乎一致。这一异常行为成为识别其与早期黑客组织关联的关键线索。

自动化缓存污染：无声无息植入后门

攻击者通过污染共享构建缓存，使后续版本在未经察觉的情况下携带恶意逻辑。即使签名有效、来源可信，开发者也无法通过常规安全检测识别问题，系统呈现“正常运行”的假象。

新变种窃取云密钥并组建僵尸网络

近期报告揭示，部分沙虫变种已具备窃取云访问凭证、加密钱包私钥、SSH密钥及环境变量的能力，同时试图将受感染设备转化为分布式拒绝服务（DDoS）攻击节点。

开发信任链延伸至企业核心系统

安全专家强调，当一个被信任的npm依赖包可被武器化，其危害已从个人开发机扩展至企业云服务与生产系统。这表明依赖管理失控可能直接打开通往关键业务资产的大门。

私有仓库遭窃，数据标价出售

本周二，某主流代码托管平台承认正调查内部仓库遭未授权访问事件。此前有黑客组织声称窃取约4000个私有仓库内容，并在暗网论坛以不低于5万美元的价格挂牌售卖。