摘要:新型软件供应链攻击正通过伪装的依赖包渗透开发者系统,利用安装钩子静默植入恶意负载,威胁包括加密货币项目在内的多个关键生态。攻击者精心设计执行路径,绕过常规检测,已波及多个高星项目与自动化构建流程。
币圈界报道:
隐蔽型软件包攻击蔓延,开发者信任链遭侵蚀
近期出现的新型软件供应链攻击将矛头直指开发人员,攻击者在软件包安装环节嵌入潜伏的Linux后门,目前已确认超过700个GitHub项目与攻击基础设施存在关联,八个Packagist软件包被证实已感染。
恶意钩子藏于JSON配置,常规审查难辨真伪
典型攻击案例涉及携带隐蔽安装脚本的Packagist包,尽管目标多为PHP项目,但攻击者巧妙地将危险指令置于package.json文件中,而非传统检查的composer.json,导致依赖扫描工具极易漏判。
静默执行机制专为安装阶段量身打造
该安装钩子会从GitHub发布页下载二进制文件,存入/tmp/.sshd路径并赋予执行权限,随后在后台运行。文件命名模仿系统组件,命令行跳过TLS证书校验且隐藏错误输出,其行为特征高度契合在依赖安装过程中无声部署的恶意逻辑,与正常软件包操作模式显著不同。
CI/CD流水线成为高危暴露面
相同恶意负载亦出现在标记为“依赖缓存同步”的虚假GitHub Actions工作流中,使本地开发与自动化构建环境均面临威胁。由于构建服务器常持有部署令牌、云凭证、签名密钥及生产环境访问权限,一旦被攻陷,后果远超普通恶意软件污染。
此类攻击对加密货币团队、交易所、去中心化金融协议、钱包项目及基础设施服务商构成直接风险。在开发团队察觉前,恶意钩子即可窃取钱包工具、API密钥、npm或GitHub令牌以及云账户凭证。
攻击路径共性揭示深层威胁模型
近期发生的密码管理器命令行工具供应链事件同样威胁钱包密钥安全。其核心风险不在于工具品牌,而在于攻击路径——入侵受信任的开源项目,在正常安装或构建流程中触发执行,进而从邻近生产环境提取敏感信息。
开源依赖问题已由开发层面上升至协议层级,某区块链库因严重依赖漏洞被迫紧急修复,凸显开发工具安全缺陷如何迅速演变为系统性风险。
密钥轮换是首要防御动作
关键入侵痕迹包括特定GitHub账户parikhpreyash4、代码库systemd-network-helper-aa5c751f、隐蔽路径/tmp/.sshd,以及curl -skL和chmod +x /tmp/.sshd等命令片段。团队应全面排查本地设备、CI运行器与构建日志,尤其关注dev-main、dev-master或3.x-dev等受影响分支。
即便恶意包已被移除,若上游仓库仍受感染或构建系统自动拉取更新,风险依然存在。建议锁定安全版本、清除依赖缓存、审查GitHub Actions流程、核查package.json脚本,并基于纯净镜像重建受感染环境。
对于曾执行恶意钩子的环境,密钥轮换是当务之急,涵盖GitHub令牌、包注册密钥、SSH密钥、云凭证、部署密钥、交易所API密钥及钱包自动化凭证。若恶意程序已复制密钥至外部,仅卸载软件无法保障安全。
目前尚无公开证据显示此次攻击导致直接资金损失,但对于开发钱包软件、交易系统、DeFi应用或交易所集成方案的团队而言,攻击路径已清晰可见。受信任模板中的隐蔽脚本可在监控发现异常前完成渗透。最稳妥策略是将所有受影响的安装过程与CI任务视为已暴露状态,直至完成对日志、运行器、凭证与依赖路径的彻底审查。
声明:本站所有文章内容,均为采集网络资源,不代表本站观点及立场,不构成任何投资建议!如若内容侵犯了原著者的合法权益,可联系本站删除。