InfoQ
·
NPM生态系统遭遇两起AI驱动的凭证盗窃供应链攻击
💡
原文英文,约800词,阅读约需3分钟。
📝
内容提要
近期,Node包管理器(npm)生态系统遭遇两次重大供应链攻击,影响数百个包,导致开发者面临凭证盗窃和数据泄露风险。攻击者利用AI工具发布恶意版本的Nx构建系统包,涉及超过400个用户和5500个仓库,凸显供应链安全的严重挑战。
🎯
关键要点
- Node包管理器(npm)生态系统近期遭遇两次重大供应链攻击,影响数百个包,导致开发者面临凭证盗窃和数据泄露风险。
- 8月26日,攻击者发布了多个恶意版本的Nx构建系统包,攻击被称为's1ngularity',涉及多个敏感开发者资产的盗取。
- 恶意软件嵌入在名为telemetry.js的文件中,系统性搜索敏感文件,包括钱包、密钥存储、.env文件和SSH密钥。
- 攻击者利用安装的AI命令行工具,使用危险标志运行以窃取文件系统内容,成功案例超过数百个。
- 被盗数据被编码并上传到攻击者控制的GitHub仓库,涉及超过1000个有效的GitHub令牌和大量云凭证。
- 攻击分为两个阶段,第一阶段为凭证盗窃和仓库创建,第二阶段利用被盗的GitHub令牌将私有仓库公开。
- LinkedIn和Reddit上的评论指出,攻击者利用AI工具自动化侦查,标志着攻击方式的转变。
- 另一起攻击针对CrowdStrike等发布的npm包,Socket.dev研究人员将其视为持续的'Shai-Hulud'攻击。
- Shai-Hulud攻击表现出复杂的蠕虫行为,自动修改和重新发布包,并添加后安装脚本以确保恶意软件自动运行。
- 使用AI武器化构建工具成为新的网络钓鱼方式,CI管道成为新的薄弱环节。
- 两次攻击展示了被盗凭证如何在开发生态系统中级联传播,带来持续的安全挑战。
➡️
