2024年5月19日,一个名为Mini Shai-Hulud的恶意蠕虫在短短30分钟内成功入侵某npm注册账户,随即向323个公共软件包注入共计639个篡改版本。该账户长期维护阿里巴巴旗下AntV数据可视化技术栈,同时涵盖多个用于加密货币仪表板、去中心化金融前端及金融科技应用的核心组件库。
此次事件中,周下载量超过百万级的多个关键模块成为重灾区,包括每周期下载达420万次的size-sensor、110万次的echarts-for-react、220万次的@antv/scale以及115万次的timeago.js。由于采用语义版本控制策略,新安装项目将自动拉取最新版本,导致大量开发环境在无感知状态下引入恶意代码。
该恶意载荷具备高度隐蔽性,可提取超过20种类型的敏感信息,覆盖云服务访问密钥、代码托管平台令牌、数据库连接配置以及本地密码管理器存储数据。其数据泄露路径设计为双通道机制:一方面将加密后的数据发送至命令控制服务器;另一方面利用窃取到的权限,在公开代码库中创建临时镜像仓库作为备份传输节点。
在基于Linux的系统上,该蠕虫会部署持久化服务进程,即使原软件包被卸载也能持续驻留。此外,它还会修改开发环境中的配置文件,以实现开机自启和行为隐藏。
本次攻击被确认为同一威胁组织发起的第三轮攻势。监测数据显示,攻击者已渗透多个主流软件包注册中心。相关团伙曾在暗网论坛公开售卖其攻击框架,目前已出现使用不同控制节点的变种程序,表明其攻击能力正在快速演进。
安全机构建议所有受影响系统按最高级别失陷处理,立即执行密钥轮换、访问令牌撤销、启用多因素认证,并对全部代码仓库进行深度审计,排查异常提交与非授权仓库创建行为。
声明:文章不代表币圈网立场和观点,不构成本站任何投资建议。内容仅供参考!
免责声明:本站所有内容仅供用户学习和研究,不构成任何投资建议.不对任何信息而导致的任何损失负责.谨慎使用相关数据和内容,并自行承担所带来的一切风险.