摘要:5月19日,Mini Shai-Hulud蠕虫在30分钟内攻陷npm维护者账户,向323个软件包推送639个恶意版本,波及阿里AntV工具链及多个金融与区块链项目。攻击者通过双重通道外传敏感凭证,并具备持久化能力。
币圈界报道:
5月19日开源包仓库遭遇大规模恶意软件入侵事件
5月19日,一款名为Mini Shai-Hulud的蠕虫在半小时内成功劫持某npm维护者账号,并向323个软件包注入639个恶意版本。该账户负责管理阿里巴巴旗下AntV数据可视化核心组件库,涵盖加密货币监控面板、去中心化金融前端及金融科技独立模块。
高流量组件遭重点污染,影响范围广泛
受冲击最严重的项目包括周下载量达420万次的size-sensor、110万次的echarts-for-react、220万次的@antv/scale以及115万次的timeago.js。采用语义版本控制策略的开发环境在执行全新安装时,会自动拉取被篡改的恶意版本。
多维度凭证窃取与隐蔽数据外传机制
该恶意载荷可提取超过20种敏感凭证信息,涵盖云服务密钥、代码托管平台令牌、数据库连接字符串及本地密码管理器存储数据。数据泄露采取双通道传输:先加密发送至命令控制服务器,同时利用窃取的访问令牌创建公开代码仓库作为备份传输路径。
在Linux系统中,该蠕虫会部署为常驻系统服务,确保即使软件包被卸载仍能持续运行;并修改开发环境配置文件以维持持久激活状态。
攻击模式持续迭代,威胁组织活跃扩散
此次事件为同一攻击活动的第三次升级。监测显示,攻击者已渗透多个主流软件包仓库。相关团伙曾在黑客论坛公开推广其攻击框架,目前已有使用不同控制服务器的仿制变种出现。
安全机构建议将所有受影响环境视为已完全沦陷,立即执行凭证轮换、访问令牌撤销、启用多因素认证,并对代码仓库开展全面异常行为审计。
声明:本站所有文章内容,均为采集网络资源,不代表本站观点及立场,不构成任何投资建议!如若内容侵犯了原著者的合法权益,可联系本站删除。