聚焦源代码安全网罗国内外最新资讯编译代码卫士专栏·供应链安全数字化时代软件无处不在。软件如同社会中的“虚拟人”已经成为支撑社会正常运转的最基本元素之一软件的安全性问题也正在成为当今社会的根本性、基础性问题。随着软件产业的快速发展软件供应链也越发复杂多元复杂的软件供应链会引入一系列的安全问题导致信息系统的整体安全防护难度越来越大。近年来针对软件供应链的安全攻击事件一直呈快速增长态势造成的危害也越来越严重。为此我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯分析供应链安全风险提供缓解建议为供应链安全保驾护航。注以往发布的部分供应链安全相关内容请见文末“推荐阅读”部分。Socket和 StepSecurity 公司的研究人员在 Namastex Labs 的多个软件包中发现一起针对 npm 生态系统的新型供应链攻击正在窃取开发者凭证并试图通过来自被入侵账户发布的软件包进行传播。Namastex Labs 是一家提供基于 AI 的智能解决方案以提高盈利能力的公司。研究人员提到该攻击中使用的凭据窃取、数据外泄和自我传播技术与 TeamPCP 的 CanisterWorm 攻击相似但现有证据无法得出确切的归因结论。在本文发布时Socket 列出了在该新型供应链攻击中已被入侵的 16 个 Namastex 软件包中的一组automagik/genie (4.260421.33–4.260421.39)pgserve (1.1.11–1.1.13)fairwords/websocket (1.0.38–1.0.39)fairwords/loopback-connector-es (1.4.3–1.4.4)openwebconcept/theme-owc1.0.3openwebconcept/design-tokens1.0.3这些包用于 AI 代理工具和数据库操作因此该攻击针对的是高价值终点而非追求大规模感染。不过由于该攻击具备类似蠕虫的功能一旦条件满足传播速度可能会迅速扩大。研究人员发现杯注入的恶意代码会收集与各种密钥相关的敏感数据如令牌、API 密钥、SSH 密钥、云服务凭证、CI/CD 系统、注册表、LLM 平台以及 Kubernetes/Docker 配置。此外它还会尝试提取存储在 Chrome 和 Firefox 中的敏感数据包括加密货币钱包如 MetaMask、Exodus、Atomic Wallet 和 Phantom。SetpSecurity 公司的研究人员表示该恶意软件“是一个供应链蠕虫”能够找到可用于在 npm 上发布包的令牌并将自身注入到该令牌有权发布的每个包中从而进一步扩大入侵范围。研究人员提到pgserve 的恶意版本首次发布于 4 月 21 日 22:14 UTC同一天又发布了另外两个恶意版本。如果发布令牌在受害系统中以环境变量或 ~/.npmrc 配置文件的形式存在恶意脚本会识别受害者可发布的包添加恶意负载然后以递增的版本号将其重新发布到 npm。这些新受感染的包在安装时会执行同样的流程从而实现递归传播。研究人员指出如果发现 PyPI 凭据该恶意软件会使用基于 .pth 文件的负载对 Python 包采用类似的方法这使得该攻击成为一次多生态系统的攻击。开发人员应将所有列出的包版本视为恶意版本立即从系统和 CI/CD 管道中移除然后更换所有可能已暴露的密钥。Socket 和 StepSecurity 公司均提供了入侵指标帮助防御者识别受感染的开发环境或针对此次攻击进行防御。在发现受影响包的环境中建议采取的措施包括从开发和 CI/CD 系统中移除这些包更换所有凭证和密钥数据并检查内部包镜像、构件和缓存。Socket 还建议防御者审计是否存在具有相同的public.pem文件、相同的 webhook 主机或相同 postinstall 模式的相关包。开源卫士试用地址https://sast.qianxin.com/#/login代码卫士试用地址https://codesafe.qianxin.com推荐阅读在线阅读版《2025中国软件供应链安全分析报告》全文Axios 严重漏洞可导致 RCETrivy供应链攻击触发CanisterWorm 在47个 npm 包中自传播热门包管理器中存在多个漏洞JavaScript 生态系统易受供应链攻击开源自托管平台 Coolify 修复11个严重漏洞可导致服务器遭完全攻陷得不到就毁掉第二轮Sha1-Hulud供应链攻击已发起影响2.5万仓库vLLM 高危漏洞可导致RCE开源AI框架 Ray 的0day已用于攻陷服务器和劫持资源热门 React Native NPM 包中存在严重漏洞开发人员易受攻击10个npm包被指窃取 Windows、macOS 和 Linux 系统上的开发者凭据热门 React Native NPM 包中存在严重漏洞开发人员易受攻击热门NPM库 “coa” 和“rc” 接连遭劫持影响全球的 React 管道开发人员注意VSCode 应用市场易被滥用于托管恶意扩展GitHub Copilot 严重漏洞可导致私有仓库源代码被盗受 Salesforce 供应链攻击影响全球汽车巨头 Stellantis 数据遭泄露捷豹路虎数据遭泄露生产仍未恢复幕后黑手或与 Salesforce-Salesloft 供应链攻击有关十几家安全大厂信息遭泄露谁是 Salesforce-Salesloft 供应链攻击的下一个受害者第三方集成应用 Drift OAuth 令牌被用于攻陷 Salesforce 实例全球700家企业受影响黑客发动史上规模最大的 NPM 供应链攻击影响全球10%的云环境十几家安全大厂信息遭泄露谁是 Salesforce-Salesloft 供应链攻击的下一个受害者第三方集成应用 Drift OAuth 令牌被用于攻陷 Salesforce 实例全球700家企业受影响AI供应链易遭“模型命名空间复用”攻击Frostbyte10威胁全球供应链的10个严重漏洞PyPI拦截1800个过期域名邮件防御供应链攻击PyPI恶意包利用依赖引入恶意行为发动软件供应链攻击黑客利用虚假 PyPI 站点钓鱼攻击Python 开发人员700多个恶意误植域名库盯上RubyGems 仓库NPM “意外” 删除 Stylus 合法包 全球流水线和构建被迫中断固件开发和更新缺陷导致漏洞多年难修供应链安全深受其害NPM仓库被植入67个恶意包传播恶意软件在线阅读版《2025中国软件供应链安全分析报告》全文NPM软件供应链攻击传播恶意软件隐秘的 npm 供应链攻击误植域名导致RCE和数据破坏NPM恶意包利用Unicode 隐写术躲避检测Aikido在npm热门包 rand-user-agent 中发现恶意代码密币Ripple 的NPM 包 xrpl.js 被安装后门窃取私钥触发供应链攻击原文链接https://www.bleepingcomputer.com/news/security/new-npm-supply-chain-attack-self-spreads-to-steal-auth-tokens/本文由奇安信编译不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。奇安信代码卫士 (codesafe)国内首个专注于软件开发安全的产品线。觉得不错就点个 “在看” 或 赞” 吧~