摘要:npm平台因大规模供应链攻击事件启动应急响应,637个受感染软件包在半小时内发布,引发安全界对基础设施脆弱性的深度质疑。尽管采取密钥撤销措施,专家仍警告其未能根治系统性风险。
币圈界报道:
npm平台遭遇严重供应链攻击,紧急封锁恶意包发布
主流JavaScript包管理平台npm近日因重大安全漏洞触发应急机制,针对持续蔓延的恶意软件‘Mini Shai-Hulud’展开全面应对。该病毒已渗透至多个Web3开发项目,攻击者利用被窃取的账户权限,在短时间内批量发布受控版本,威胁整个生态系统的完整性。
平台实施密钥强制轮换与可信发布模式升级
为阻断攻击链路,npm已向全体开发者发出指令,要求立即更换所有访问凭证,并强制启用经验证的发布流程。此举旨在切断恶意软件的传播路径,提升代码分发环节的安全基线,降低未授权部署的风险。
行业专家质疑应对策略的深层有效性
尽管平台迅速行动,多位安全研究者指出当前措施仅具表面效力。MetaMask安全负责人泰勒·莫纳汉批评响应滞后暴露了底层架构的结构性缺陷,而研究员摩西·西曼·托夫·布斯坦则主张开展全面技术审计,而非依赖临时权限限制。
安全团队强调,即便密钥被撤销,已感染设备仍可能持续执行隐蔽数据窃取行为。‘Mini Shai-Hulud’具备高度伪装能力,可嵌入AI辅助工具与开发环境配置中,以正常操作形式激活,窃取如AWS凭据、加密货币密钥等核心资产。
攻击扩散速度惊人,影响范围广泛
在账户‘atool’被攻陷后,攻击者于不到三十分钟内推送637个受感染版本至323个软件包,这些组件每周累计下载量接近1600万次,暴露出依赖链式开发模式的极端脆弱性。
此次事件凸显现有安全框架难以抵御自动化、规模化攻击,亟需引入动态行为检测与零信任机制。目前的密钥回收仅为短期缓解手段,长远来看必须建立覆盖全生命周期的防护体系,防止类似威胁再次大规模爆发。
声明:本站所有文章内容,均为采集网络资源,不代表本站观点及立场,不构成任何投资建议!如若内容侵犯了原著者的合法权益,可联系本站删除。