聚焦源代码安全,网罗国内外最新资讯!
数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。
随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的安全攻击事件一直呈快速增长态势,造成的危害也越来越严重。
为此,我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯,分析供应链安全风险,提供缓解建议,为供应链安全保驾护航。
注:以往发布的部分供应链安全相关内容,请见文末“推荐阅读”部分。
热门 NPM 包 “is” 已在一起供应链攻击中遭攻陷,导致攻击者可完全访问受陷设备。
维护人员账号遭钓鱼攻击后被劫持,之后所有人遭越权变更且在数小时内未被发现,从而可能攻陷了下载该新发布的很多开发人员。
”is” 包是一个轻量级的 JavaScript 工具库,提供多种类型检查和值验证功能。Is 包在 NPM 上的每周下载量已超过280万次,广泛用于开发工具、测试库、构建系统和后端以及CLI项目中的底层工具依赖中。2025年7月19日,该包的主维护人员 John Harband 宣布称3.3.1到5.0.0版本中包含恶意软件并在威胁人员将其提交至npm的约6小时后被删除。这起NPM供应链攻击也曾利用虚假域名 npnjs[.]com 提取维护人员凭据并发布热门包的恶意版本。
除了 “is” 外,如下包也已证实遭同样的攻击并推送恶意软件:
eslint-config-prettier (8.10.1、9.1.1、10.1.6、10.1.7)
eslint-plugin-prettier (4.2.2、4.2.3)
synckit (0.11.9)
@pkgr/core (0.2.8)
napi-postinstall (0.3.1)
got-fetch (5.1.11、5.1.12)
Socket 公司报道称,“is”包中包含一个跨平台的 JavaScript 恶意软件加载器,通过基于 WebSocket 的一个后门可导致远程代码执行后果。该公司解释称,“一旦激活,它要求 Node 的 os 模块收集主机名、操作系统和CPU详情,并捕获 process.env 中的所有环境变量。之后它动态导入 ws 库,通过WebSocket 连接提取该数据。通过该套接字收到的每条信息都被当作可执行的 JavaScript,导致威胁人员能够获得即时的交互性远程shell。”
研究人员还分析了 “eslint” 和余下包中的 payload,发现名为 “Scavanger” 的Windows 信息窃取工具被用于存储在web 浏览器中的敏感信息。该恶意软件具有躲避机制如间接系统调用、加密的C2通信等,但由于标记操纵的原因可能触发安全提醒。
从攻击模式来看,威胁人员可能还攻陷了其它维护人员的凭据并正在准备在新的软件包上测试更隐秘的payload。为阻止这一行动,维护人员应当立即重置密码并更改令牌,开发人员应当仅使用2025年7月18日之前的已知安全的版本。用户应当关闭自动更新机制,使用锁文件来冻结某些特定依赖版本上的版本。
NPM “意外” 删除 Stylus 合法包 全球流水线和构建被迫中断
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~