对于JavaScript开发者而言,眼下正值多事之秋——Koi Security昨日披露其正在追踪“npm生态史上规模最大、危害性最强的软件供应链攻击事件”。这家安全公司指出,名为“沙虫(Shai-Hulud)”的恶意软件活动“已波及多个维护者旗下的数百个软件包”,其中包括“@ctrl/tinycolor等热门库以及CrowdStrike维护的软件包”(重点强调系原文所为)。由于该恶意程序具备蠕虫式自主传播特性,事态在好转前很可能持续恶化。
Koi Security在揭示该活动的技术博客中表示:“攻击者发布了@ctrl/tinycolor等npm软件包的恶意版本,植入会在安装阶段自动执行的高度混淆脚本(bundle.js)。该有效载荷会重新打包并发布维护者的项目,使得恶意软件能在无需开发者干预的情况下横向感染相关软件包。”
需要明确的是:本次事件与我们在9月9日报道的加密货币窃取攻击无关(当时每周下载量达数十亿次的多款npm软件包遭篡改)。虽然攻击目标同属GitHub旗下的Node.js软件包注册表,但“沙虫”幕后黑手的图谋远不止窃取比特币。
“注入脚本会执行凭据收集与持久化操作,”Koi Security解释道,“它运行TruffleHog工具扫描本地文件系统与代码库,窃取包括npm令牌、GitHub凭据以及亚马逊云服务(AWS)、谷歌云平台(GCP)和Azure密钥在内的敏感信息。同时还会创建隐藏的GitHub Actions工作流文件(.github/workflows/shai-hulud-workflow.yml),在CI/CD流程中持续泄露密钥,确保即使初始感染被清除仍能长期维持访问权限。这种终端密钥窃取与后门植入的双重攻击模式,使‘沙虫’成为史上最危险的网络攻击活动之一。”
对于无需参与Node.js软件开发与分发的群体而言,这些技术细节可能令人困惑。但核心在于:“沙虫”组合运用了知名的攻击性安全工具(TruffleHog)与开发者工具(GitHub Actions),在专门为简化软件分发而设计的生态体系(npm)中实施了精准打击。
我们曾在先前的报告中指出,此前篡改npm软件包窃取加密货币的黑客反而“做了件好事”,因为他们本可利用访问权限发动更具破坏性的攻击。如今看来,确实有人正在实施这种攻击——考虑到Node.js生态系统及其周边工具链天然具备促成大规模攻击的特性,当前事态发展实在不足为奇。
Koi Security正在持续更新受“沙虫”活动影响的npm软件包清单。StepSecurity公司也发布了威胁指标(IoC)及技术分析报告,详细说明恶意软件的传播机制、行为模式以及企业发现基础设施中使用了受感染软件包时的应对方案。
