北京
國家網絡與信息安全信息通報中心監測發現,全球主流JavaScript軟件包管理平臺npm遭“沙蟲”(Shai-Hulud)供應鏈投毒攻擊。攻擊者攻陷了npm官方維護者賬戶,并在短時間內批量投放大量惡意軟件包,涉及300余個獨立程序包的600余個惡意版本,影響多個熱門開源項目。當開發者安裝惡意依賴包后,程序會自動在本地主機、CI/CD流水線環境執行惡意代碼,竊取GitHub Token、npm Token、云服務密鑰、SSH私鑰、Kubernetes憑據、數據庫連接字符串等敏感信息。此次投毒攻擊具備極強蠕蟲式自我復制與橫向傳播能力,攻擊者可利用竊取的npm發布權限篡改和二次發布開發者名下的其他軟件包,造成供應鏈風險持續擴散、危害持續升級。
一、影響范圍
主要受影響項目包括echarts-for-react、@antv系列核心庫(@antv/g2、@antv/g6、@antv/x6等)、TanStack系列42個包、Mistral AI相關PyPI包以及timeago.js等社區包。受影響對象主要包括前端開發者、人工智能或機器學習開發者、開源項目維護者及企業研發人員等。由于惡意軟件具備蠕蟲式傳播能力,可自動重新發布受害者維護的其他包,導致共享開發環境的其他用戶及依賴同一維護者發布的其他軟件包的用戶也可能面臨間接感染風險。
二、處置建議
一是隔離風險設備。若本地設備近期安裝過相關受影響的npm依賴,建議暫停項目運行,并斷開可疑設備網絡連接,防止惡意代碼繼續外聯。二是排查依賴文件。檢查package.json、package-lock.json、pnpm-lock.yaml、yarn.lock及node_modules目錄,核實是否存在異常preinstall、postinstall等自動執行腳本。三是清理殘留痕跡。排查Claude Code hooks、VS Code任務配置等位置,檢查是否存在router_runtime.js、setup.mjs等可疑文件,避免惡意代碼在卸載依賴后繼續殘留。四是更換敏感憑證。及時更新GitHub Token、npm Token、云服務密鑰、SSH私鑰、數據庫密碼等各類密鑰與令牌,對關聯賬號執行“退出全部設備”操作。五是提升安全意識。安裝npm第三方依賴前,應核驗項目官方來源、近期發布記錄和腳本內容,不盲目安裝熱門包,優先選用安全穩定的官方版本。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
