国家网络安全通报中心:主流 JavaScript 软件包管理平台 npm 遭供应链投毒攻击
金十数据 5 月 25 日讯,国家网络安全通报中心监测发现,全球主流 JavaScript 软件包管理平台 npm 遭“沙虫”(Shai-Hulud)供应链投毒攻击。攻击者攻陷了 npm 官方维护者账户,并在短时间内批量投放大量恶意软件包,涉及 300 余个独立程序包的 600 余个恶意版本,影响多个热门开源项目。当开发者安装恶意依赖包后,程序会自动在本地主机、CI/CD 流水线环境执行恶意代码,窃取 GitHub Token、npm Token、云服务密钥、SSH 私钥、Kubernetes 凭据、数据库连接字符串等敏感信息。此次投毒攻击具备极强蠕虫式自我复制与横向传播能力,攻击者可利用窃取的 npm 发布权限篡改和二次发布开发者名下的其他软件包,造成供应链风险持续扩散、危害持续升级。
金十数据 5 月 25 日讯,国家网络安全通报中心监测发现,全球主流 JavaScript 软件包管理平台 npm 遭“沙虫”(Shai-Hulud)供应链投毒攻击。攻击者攻陷了 npm 官方维护者账户,并在短时间内批量投放大量恶意软件包,涉及 300 余个独立程序包的 600 余个恶意版本,影响多个热门开源项目。当开发者安装恶意依赖包后,程序会自动在本地主机、CI/CD 流水线环境执行恶意代码,窃取 GitHub Token、npm Token、云服务密钥、SSH 私钥、Kubernetes 凭据、数据库连接字符串等敏感信息。此次投毒攻击具备极强蠕虫式自我复制与横向传播能力,攻击者可利用窃取的 npm 发布权限篡改和二次发布开发者名下的其他软件包,造成供应链风险持续扩散、危害持续升级。
