摘要:近期多起新型软件供应链攻击事件暴露了开发环境中的深层风险。攻击者通过伪装的Packagist包在安装流程中植入Linux后门,已确认8个主流PHP项目受影响,且影响范围延伸至CI/CD管道与生产密钥系统,亟需全面清理与凭证轮换。
币圈界报道:
开源依赖链遭隐蔽渗透,恶意钩子潜伏于安装环节
最新出现的软件供应链攻击正悄然威胁开发者生态。攻击者在软件包部署阶段植入隐藏的Linux执行载荷,目前已有逾700个GitHub项目与该攻击者的基础设施存在关联,其中八个Packagist软件包被证实已感染。
恶意脚本藏匿于非标准位置,常规审计难察觉
典型攻击案例聚焦于携带非法安装钩子的Packagist组件。尽管目标多为PHP项目,但攻击者将危险指令嵌入package.json而非传统composer.json文件中,导致常规依赖扫描机制难以识别其异常行为。
静默执行机制设计精巧,规避检测与日志追踪
该钩子会从GitHub发布页面下载二进制文件,存储于/tmp/.sshd路径并赋予可执行权限,随后在后台运行。其命名模仿系统服务,同时绕过TLS证书验证并屏蔽错误输出,整体行为高度契合无痕执行特征,专为依赖安装过程中的隐蔽操作量身定制。
CI/CD流水线成为高危暴露面
同一恶意负载亦出现在伪造的“依赖缓存同步”GitHub Actions工作流中,使自动化构建环境与本地开发机均面临同等威胁。由于构建服务器常持有部署令牌、云凭证、签名密钥及生产环境访问权限,此类入侵可能造成更大范围的信息外泄。
加密货币团队、去中心化金融协议、钱包应用及交易所集成方案普遍依赖开源包与自动构建流程。一旦恶意脚本在依赖安装阶段被执行,便可能窃取钱包工具密钥、API密钥、npm或GitHub令牌以及云平台凭据。
关键密钥泄露风险已成现实威胁
近期密码管理器命令行工具的供应链攻击再次凸显风险路径:通过篡改可信软件包,在正常安装时触发执行,进而从邻近环境中提取敏感信息。此模式不因品牌而异,核心在于攻击入口——开发者信任的依赖项。
某区块链库因严重依赖漏洞被迫紧急修复,标志着软件包安全问题已从开发层跃升为协议级风险。若不及时干预,潜在损失可能波及整个生态系统的完整性。
应以密钥轮换为核心应对措施
关键入侵痕迹包括特定GitHub账户parikhpreyash4、代码库systemd-network-helper-aa5c751f、路径/tmp/.sshd,以及curl -skL、chmod +x /tmp/.sshd等命令片段。开发团队应在本地环境、CI运行器及构建日志中主动排查这些特征,尤其关注dev-main、dev-master或3.x-dev等受污染分支。
尽管恶意包已在Packagist下架,但若上游仓库未修复或构建系统持续拉取新代码,仍可能引入风险。建议锁定安全版本、清除依赖缓存、审查GitHub Actions配置、检查package.json中的脚本内容,并基于可信镜像重建受感染运行器。
对于曾执行过恶意钩子的系统,立即轮换所有相关凭证是首要任务,涵盖GitHub令牌、软件包注册密钥、SSH密钥、云服务凭证、部署密钥、交易所API密钥及钱包自动化接口凭证。若载荷已复制密钥至外部节点,仅卸载包无法彻底消除隐患。
当前虽无公开证据显示此次攻击直接引发加密资产损失,但对于涉及钱包开发、交易系统、DeFi协议或交易所集成的团队而言,攻击路径已明确。建议将所有受影响的安装流程与CI任务视为已泄露状态,直至完成对日志、运行环境、密钥链与依赖路径的全面审查与加固。
声明:本站所有文章内容,均为采集网络资源,不代表本站观点及立场,不构成任何投资建议!如若内容侵犯了原著者的合法权益,可联系本站删除。