从"沙虫"自复制恶意软件发起的npm供应链大攻击中汲取的教训
💡
原文中文,约1900字,阅读约需5分钟。
📝
内容提要
2025年9月,JavaScript生态系统遭遇名为“沙虫”的自复制蠕虫攻击,感染了477个npm软件包。攻击者通过钓鱼邮件获取维护者凭证,并利用AI编写恶意脚本自动传播。这一事件凸显了供应链安全的脆弱性,亟需根本性变革以应对新威胁。
🎯
关键要点
- 2025年9月,JavaScript生态系统遭遇名为“沙虫”的自复制蠕虫攻击,感染了477个npm软件包。
- 攻击者通过钓鱼邮件获取维护者凭证,并伪造npm官方注册表的虚假域名。
- 攻击者可能利用大型语言模型编写恶意bash脚本,显示出AI工具在网络犯罪中的武器化趋势。
- ‘沙虫’恶意软件通过NpmModule.updatePackage函数实现自复制,能够自动识别并感染其他软件包。
- 攻击在2025年9月15日达到高峰,多个高影响软件包被入侵,下载量超过220万次。
- 安全团队可通过特定文件系统特征识别潜在入侵,包括恶意bundle.js文件和GitHub Actions工作流。
- ‘沙虫’实施了全面的凭证收集策略,优先获取高价值凭证,并采用双通道外泄策略。
- 此次攻击标志着供应链安全的分水岭,传统安全措施难以应对自传播威胁,需进行根本性变革。
- 未来供应链安全必须发展以应对新型攻击方法,经验教训应指导技术安全改进和政策变更。
❓
延伸问答
沙虫攻击是如何开始的?
沙虫攻击始于针对npm软件包维护者的钓鱼操作,攻击者伪造了npm官方注册表的虚假域名,发送钓鱼邮件要求维护者更新凭证。
沙虫恶意软件的自复制机制是怎样的?
沙虫恶意软件通过NpmModule.updatePackage函数实现自复制,能够自动识别并感染其他软件包。
此次攻击影响了哪些高影响软件包?
此次攻击影响了多个高影响软件包,包括@ctrl/tinycolor@4.1.1和angulartics2@14.1.2等。
沙虫攻击的凭证收集策略是什么?
沙虫实施了全面的凭证收集策略,优先获取高价值凭证,如npm发布令牌和云服务凭证。
这次攻击对供应链安全有什么启示?
沙虫攻击标志着供应链安全的分水岭,表明传统安全措施难以应对自传播威胁,需进行根本性变革。
未来如何改进供应链安全以应对新威胁?
未来供应链安全必须发展以应对新型攻击方法,经验教训应指导技术安全改进和政策变更。
➡️
