小众软件
·
npm 历史上首个蠕虫式供应链攻击:会自我传播
💡
原文中文,约1700字,阅读约需4分钟。
📝
内容提要
TanStack Router 的 npm 包遭到恶意代码攻击,攻击者通过提交 PR 污染 CI 缓存,导致恶意代码被打包发布,窃取开发者密钥并感染其他项目。建议开发者暂缓升级项目,等待安全确认。
🎯
关键要点
- TanStack Router 官方 npm 包被植入恶意代码,攻击者通过提交 PR 污染 CI 缓存。
- 恶意代码窃取开发者电脑里的密钥,并感染其他 GitHub 仓库。
- 攻击者提交的恶意代码绕过了 npm 生态的信任链,导致恶意代码被打包发布。
- 这是 npm 历史上首次出现真正的自我传播蠕虫式供应链攻击。
- 攻击链包括提交恶意 PR、执行攻击者代码、污染 CI 缓存,最终发布恶意 npm 包。
- 恶意包通过官方流程发布,攻击者未入侵 npm 账号,仅利用自动化流程中的漏洞。
- 恶意代码在本地运行后会扫描电脑,窃取 npm 令牌和 GitHub 密钥,并修改其他项目的 CI 配置。
- 建议开发者暂缓升级项目,等待安全确认。
❓
延伸问答
TanStack Router 的 npm 包是如何被攻击的?
攻击者通过提交恶意 PR 污染 CI 缓存,导致恶意代码被打包发布。
这次攻击的主要影响是什么?
恶意代码窃取开发者的密钥,并感染其他 GitHub 仓库,造成广泛传播。
为什么这次攻击被称为蠕虫式供应链攻击?
因为恶意代码在本地运行后会自动扫描并感染其他项目,无需人工干预。
开发者应该如何应对这次攻击?
建议开发者暂缓升级项目,等待安全确认。
这次攻击是如何绕过 npm 的信任链的?
攻击者利用了自动化流程中的漏洞,尽管所有发布流程看似正常。
TanStack Router 是什么?
TanStack Router 是一个流行的 JavaScript 路由库,每周下载量超过数百万次。
➡️
