InfoQ
·
NPM生态系统遭遇两起AI驱动的凭证盗窃供应链攻击
💡
原文英文,约800词,阅读约需3分钟。
📝
内容提要
近期,Node包管理器(npm)生态系统遭遇两次重大供应链攻击,影响数百个包,导致开发者面临凭证盗窃和数据泄露风险。攻击者利用AI工具发布恶意版本的Nx构建系统包,涉及超过400个用户和5500个仓库,凸显供应链安全的严重挑战。
🎯
关键要点
- Node包管理器(npm)生态系统近期遭遇两次重大供应链攻击,影响数百个包,导致开发者面临凭证盗窃和数据泄露风险。
- 8月26日,攻击者发布了多个恶意版本的Nx构建系统包,攻击被称为's1ngularity',涉及多个敏感开发者资产的盗取。
- 恶意软件嵌入在名为telemetry.js的文件中,系统性搜索敏感文件,包括钱包、密钥存储、.env文件和SSH密钥。
- 攻击者利用安装的AI命令行工具,使用危险标志运行以窃取文件系统内容,成功案例超过数百个。
- 被盗数据被编码并上传到攻击者控制的GitHub仓库,涉及超过1000个有效的GitHub令牌和大量云凭证。
- 攻击分为两个阶段,第一阶段为凭证盗窃和仓库创建,第二阶段利用被盗的GitHub令牌将私有仓库公开。
- LinkedIn和Reddit上的评论指出,攻击者利用AI工具自动化侦查,标志着攻击方式的转变。
- 另一起攻击针对CrowdStrike等发布的npm包,Socket.dev研究人员将其视为持续的'Shai-Hulud'攻击。
- Shai-Hulud攻击表现出复杂的蠕虫行为,自动修改和重新发布包,并添加后安装脚本以确保恶意软件自动运行。
- 使用AI武器化构建工具成为新的网络钓鱼方式,CI管道成为新的薄弱环节。
- 两次攻击展示了被盗凭证如何在开发生态系统中级联传播,带来持续的安全挑战。
❓
延伸问答
npm生态系统遭遇了什么类型的攻击?
npm生态系统遭遇了两起重大供应链攻击,导致凭证盗窃和数据泄露风险。
s1ngularity攻击的主要特征是什么?
s1ngularity攻击通过发布恶意版本的Nx构建系统包,嵌入恶意软件以窃取敏感开发者资产。
攻击者是如何利用AI工具进行攻击的?
攻击者利用安装的AI命令行工具,运行带有危险标志的命令来窃取文件系统内容。
这两次攻击对开发者造成了什么影响?
攻击导致超过400个用户和5500个仓库受到影响,许多私有仓库被公开。
Shai-Hulud攻击与s1ngularity攻击有什么关系?
Shai-Hulud攻击被视为持续的攻击,表现出复杂的蠕虫行为,自动修改和重新发布包。
如何防范这类供应链攻击?
组织应审计CI管道,及时撤销被盗的GitHub令牌,以减少攻击面。
➡️
