艾体宝新闻 | NPM 生态系统陷入困境:自我传播恶意软件在大规模供应链攻击中感染了 187 个软件包 📅 发布时间:2026/7/5 0:57:21 👁️ 浏览次数: NPM 生态系统遭受了迄今为止波及范围最广的供应链攻击之一超过 187 个流行软件包被高级恶意软件入侵。该恶意软件能够自我传播和自动收集凭证。此次攻击影响了数百万周下载量的软件包包括 angulartics2、ngx-toastr 和 ctrl/tinycolor表明网络犯罪分子正在改进其策略以创造出能够在软件供应链中自主传播的「蠕虫式」恶意软件。本博客将全面分析此次攻击的方法、恶意负载的技术能力以及与这次前所未有的供应链入侵相关的入侵指标 (IOC)。Mend.io 对我们的开发环境和产品进行了内部审计可以确认我们未受此次零日事件的影响。NPM 供应链漏洞概述攻击始于对不同组织的多个软件包维护者账户的协同入侵。攻击者成功渗透了维护者的账户从而将恶意代码注入到他们的软件包中。 此次攻击之所以特别危险在于该恶意软件能够通过 npm 生态系统自我传播自动修改 package.json 文件并使用合法的维护者凭证重新发布特洛伊木马化的版本。通过自动化扩大攻击面与需要手动干预的传统供应链攻击不同这种恶意软件像真正的「蠕虫」一样运作具备自动传播能力。恶意代码会扫描受感染环境中的 npm 项目自动修改其依赖项并将其与嵌入的恶意软件一起重新发布从而形成指数级的增长模式能够迅速危及整个软件生态系统。恶意软件分析该恶意软件负载设计用于在多种环境中执行包括开发人员工作站、CI/CD 管道和生产服务器从而最大程度地发现和窃取凭证。初始执行和持久化恶意软件通过 npm 软件包生命周期挂钩执行通常在软件包安装或更新过程中触发。 ### 多阶段凭证收集 恶意软件通过几个协调的阶段运作每个阶段都旨在最大化凭证发现的同时在不同环境类型中保持隐蔽。第一阶段环境侦察和 TruffleHog 部署 恶意软件首先会下载并执行合法的开源凭证扫描工具 TruffleHog以系统地在受感染的系统中搜索暴露的秘密信息。第二阶段云端元数据端点利用 恶意软件专门针对云端环境元数据端点以提取云端服务凭证和实例信息。第三阶段GitHub 仓库操纵 恶意软件在受感染的 GitHub 账户下创建名为「Shai-Hulud」的仓库用于存储和组织被盗的凭证使攻击者可以轻松获取。先进的传播机制也许这种恶意软件最令人担忧的方面是其自我传播能力这使其无需人工干预即可在 npm 软件包之间自主传播。自动化软件包修改 恶意软件会扫描受感染环境中的 package.json 文件并自动修改它们以包含恶意依赖项或生命周期挂钩。利用 GitHub Actions 恶意软件利用 GitHub Actions 来自动化凭证窃取并在仓库更新过程中保持持久性。影响和生态系统启示 这次 npm 供应链攻击标志着威胁行为者能力的显著演进对软件开发生态系统构成了前所未有的风险 ### 指数级的传播潜力 蠕虫般的行为使其能够在 npm 生态系统中呈指数级增长。每个受感染的软件包都可能危及多个下游软件包产生连锁反应可在数小时内影响数千个项目。针对开发人员的攻击 通过专门针对开发人员环境此次攻击危及了那些通常拥有较高权限并能访问多个系统、仓库和云端环境的个人从而使每次感染的潜在影响最大化。大规模自动化凭证收集 TruffleHog 的整合使得在整个开发环境中系统地发现凭证成为可能可能暴露 - GitHub 个人访问令牌 - 云端服务凭证AWS、GCP、Azure - 数据库连接字符串 - API 密钥和身份验证令牌 - SSH 私钥和证书CI/CD 管道污染 恶意软件修改 package.json 文件并重新发布软件包的能力意味着它可以污染 CI/CD 管道可能影响生产部署并在已部署的应用程序中创建持久的后门。 ## 归因和威胁态势 此次攻击的特征与 S1ngularity/nx 威胁组织的特征一致该组织以其先前复杂的 npm 供应链攻击而闻名。使用「Shai-Hulud」仓库命名惯例与之前的攻击模式相符表明该威胁行为者仍在持续活动。攻击复杂度指标- 先进的自动化能力- 多阶段负载设计- 云原生环境感知- 整合 GitHub Actions- 自我传播的蠕虫行为结论本次攻击中所分析的复杂的自我传播恶意软件代表了供应链威胁能力的显著升级。通过结合自动化传播、全面的凭证收集以及对云原生环境的利用该恶意软件展示了威胁行为者如何适应现代开发实践和基础设施。 这一事件凸显了供应链安全的极端重要性以及在整个软件开发生命周期中采取全面安全措施的必要性。随着软件包生态系统的持续增长和开发实践日益云原生化我们可以预见到更多针对现代软件开发基础元素的复杂攻击。缓解建议为防范类似的供应链攻击和自动化凭证收集开发人员和组织应实施以下措施供应链安全措施- 使用软件包锁定文件以防止意外的版本更新- 为关键应用程序实施私有 npm 注册表- 定期审计和轮换维护者访问凭证- 启用分支保护规则要求进行拉取请求审查- 对所有提交实施强制性安全扫描- 监控意外的仓库创建或可见性更改随着供应链攻击变得更加自动化和复杂积极的安全措施和全面的监控变得至关重要。npm 生态系统的庞大规模以及开发社区对第三方软件包的依赖使得这一攻击向量对网络犯罪分子极具吸引力需要整个软件开发社区提高警惕并加大安全投入。
车载便携式自动制冷系统设计 车载便携式自动制冷系统设计 一、设计背景与意义 随着汽车出行的普及,自驾旅游、户外露营等场景对车载制冷设备的需求日益增长。传统车载冰箱多依赖车载12V电源,存在制冷速度慢、功耗高、体积笨重等问题,难以满足便携移动与快速制冷的需求。… 2026/7/5 8:50:18
基于Proteus的温控系统设计与仿真 基于Proteus的温控系统设计与仿真 一、设计背景与意义 在工业生产、智能家居、医疗设备等领域,温度精准控制是保障产品质量、设备安全与使用舒适度的核心需求。传统温控系统多依赖硬件实物调试,存在开发周期长、成本高、参数优化繁琐等问题,… 2026/5/17 1:02:49
Comsol狄拉克半金属BDS超材料的探讨 Comsol狄拉克半金属BDS超材料。在电磁超材料领域玩拓扑材料总有种开挂的感觉。今天咱们拿COMSOL折腾个硬核活——基于狄拉克半金属(BDS)的可调谐超表面。这玩意儿在太赫兹波段的表现就像物理界的变色龙,通过外加电场就能改变电磁响应特性。先整活材料参数设置。BDS的… 2026/5/17 1:02:48
2026视频转文字提取全操作指南:免费工具、在线网站、手机电脑端完整教程 随着短视频、线上课程、线上会议普及,很多人都需要把视频里的人声内容提取成文字文稿,方便整理笔记、剪辑文案、留存会议记录。2026 年市面上可供选择的提取渠道分为四类:手机端专用 APP、电脑端专业处理软件、无需下载的在线网页工具、微信轻… 2026/7/5 8:46:29
01_CLAUDE.md CLAUDE.md 的作用 CLAUDE.md 是最重要的配置文件,它是项目的整体约束,每次启动 Claude Code 会话时,它都会自动读取并加载这个文件中的内容。 CLAUDE.md文件告诉AI,这个项目是什么、遵循什么规范、有哪些注意事项,让AI… 2026/7/5 8:44:29
05_子代理 什么是子代理 子代理本质上是一个拥有独立上下文窗口的专用 AI 实例。当你在 Claude Code 主对话中下达任务时,Claude 可以判断该任务是否适合委派给某个子代理,由子代理独立完成后将结果摘要返回主对话。 每个子代理拥有: 独立的系统提示词 … 2026/7/5 8:42:28
Encore运行时嵌入Redis服务器:本地开发与生产环境行为一致的秘诀 运行时嵌入Redis服务器:本地与生产环境一致性的探索2026年6月25日,这篇阅读时长6分钟的文章将介绍如何在运行时中为本地开发和测试运行内存版Redis,以及如何确保其行为与生产环境中的Redis一致。Encore:跨环境运行后端代码的利器E… 2026/7/5 8:42:28
【Software Engineering】Agile Development,Built for Change 软件开发模型系列(五):敏捷开发 —— 从"按计划行事"到"拥抱变化"2001 年 2 月,17 个"软件方法论轻量级选手"在犹他州雪鸟滑雪场开了一次会。他们来自不同的方法论阵营——XP、Scrum、DSDM、Crysta… 2026/7/5 8:42:28
稿费赚了3510元,不接单了 独孤做AI供稿1年多。 带过很多学员。 也见过各式各样的学员。 有的学员学历低,只有初中。 有的学员学历高,高到硕士。 那是不是,硕士的学员就一定比初中学员做的快,赚的多呢? 并不是。 有的初中的学员ÿ… 2026/7/5 8:40:28
6个月转型AI工程师:实战路径与核心技能 1. 项目概述:6个月转型AI工程师的可行性路径在2023年大模型技术爆发的背景下,AI工程师岗位需求同比增长217%(LinkedIn数据)。不同于传统算法工程师需要3-5年培养周期,现代AI工程师更侧重工程化落地能力。我在硅谷科技公… 2026/7/5 0:01:32
TPAFE0808与PIC18F87K22的多通道信号采集方案 1. 项目背景与核心需求在工业自动化、医疗设备和科研仪器等领域,多通道信号采集与系统监测是基础且关键的技术需求。传统方案往往面临通道数量不足、信号调理复杂、系统集成度低等问题。TPAFE0808作为一款8通道模拟前端芯片,与PIC18F87K22微控制器的组合… 2026/7/5 0:01:32
STC3115与PIC18LF26K80构建高精度电池管理系统 1. STC3115与PIC18LF26K80在电池管理系统中的核心价值在现代电子设备中,电池管理系统(BMS)的重要性不亚于设备的核心处理器。STC3115作为一款高精度电池电量监测IC,与PIC18LF26K80微控制器的组合,构成了一个既能精确监控又能智能管理的完整解… 2026/7/5 0:05:36
6个月转型AI工程师:实战路径与核心技能 1. 项目概述:6个月转型AI工程师的可行性路径在2023年大模型技术爆发的背景下,AI工程师岗位需求同比增长217%(LinkedIn数据)。不同于传统算法工程师需要3-5年培养周期,现代AI工程师更侧重工程化落地能力。我在硅谷科技公… 2026/7/5 0:01:32
TPAFE0808与PIC18F87K22的多通道信号采集方案 1. 项目背景与核心需求在工业自动化、医疗设备和科研仪器等领域,多通道信号采集与系统监测是基础且关键的技术需求。传统方案往往面临通道数量不足、信号调理复杂、系统集成度低等问题。TPAFE0808作为一款8通道模拟前端芯片,与PIC18F87K22微控制器的组合… 2026/7/5 0:01:32
STC3115与PIC18LF26K80构建高精度电池管理系统 1. STC3115与PIC18LF26K80在电池管理系统中的核心价值在现代电子设备中,电池管理系统(BMS)的重要性不亚于设备的核心处理器。STC3115作为一款高精度电池电量监测IC,与PIC18LF26K80微控制器的组合,构成了一个既能精确监控又能智能管理的完整解… 2026/7/5 0:05:36