近期发现的新型软件供应链攻击已将大量开发者置于潜在威胁之下。攻击者在软件包安装流程中嵌入隐蔽的Linux执行体,目前已有超过700个GitHub项目被确认与攻击基础设施存在关联,其中八个Packagist软件包已被证实感染。
典型攻击案例源于携带恶意执行脚本的Packagist包。尽管目标多为PHP项目,攻击者却将危险指令置于package.json而非标准的composer.json文件中,导致依赖扫描工具难以识别,形成检测盲区。
该钩子会在安装后从GitHub发布页面下载二进制文件,保存至/tmp/.sshd路径并赋予可执行权限,随后在后台静默运行。其命名策略模仿系统组件,同时绕过TLS证书校验并隐藏错误输出,表明其设计专为规避监控而生,行为模式显著偏离正常软件包逻辑。
已确认受感染的Packagist包涵盖devdojo/wave、devdojo/genesis及katanaui/katana等八项。其中DevDojo Wave模板拥有约6400个星标,DevDojo Genesis的安装量接近9100次,这类高曝光项目成为攻击扩散的关键节点。
GitHub搜索显示,数百个公开项目与同一攻击账户及恶意载荷存在联系。然而,分支版本、缓存产物和重复构建可能导致统计结果虚高,不能全视为独立入侵事件。现有八个明确感染案例构成最可靠证据,而更广泛的活动痕迹暗示攻击影响可能超出初步判断。
相同恶意载荷亦出现在标记为“依赖缓存同步”的虚假GitHub Actions工作流中,使本地开发环境与持续集成系统均处于暴露状态。此类环境通常持有部署令牌、云服务凭证、签名密钥、软件包注册凭据及生产密钥,一旦被攻破后果极为严重。
此次攻击的影响已超越普通恶意软件清除范畴。加密货币团队、交易所、去中心化金融协议、钱包应用及基础设施服务商普遍依赖开源依赖链与自动化构建。在开发者察觉包内容被篡改前,恶意脚本已在安装阶段完成密钥窃取,包括钱包工具访问凭证、API密钥、npm与GitHub令牌以及云平台凭据。
近期发生的密码管理器命令行工具供应链攻击同样危及钱包密钥安全。其共性不在于工具品牌,而在于攻击路径:通过污染开发者信任的组件,在正常安装或构建过程中触发执行,进而从临近环境提取机密数据。
软件包层级漏洞已直接传导至区块链生态。某主流区块链库因严重依赖缺陷被迫紧急修复,凸显开发工具安全问题如何迅速演变为协议层面威胁。
关键入侵特征包括GitHub账户parikhpreyash4、代码库systemd-network-helper-aa5c751f、隐蔽路径/tmp/.sshd,以及curl -skL、chmod +x /tmp/.sshd等命令片段。开发团队应在本地设备、CI运行器与构建日志中主动排查这些指标,尤其关注dev-main、dev-master或3.x-dev等开发分支的使用情况。
尽管恶意包已被从Packagist移除,但若上游GitHub仓库仍受控或构建系统自动拉取新代码,开发分支仍可能引入风险。受影响团队应锁定安全版本、清除依赖缓存、检查GitHub Actions流程、审阅package.json中的脚本内容,并基于可信镜像重建所有受感染运行环境。
对于曾执行过恶意钩子的环境,密钥轮换是最紧迫任务,涵盖GitHub令牌、软件包注册密钥、SSH密钥、云凭证、部署密钥、交易所API密钥及钱包自动化相关凭证。若载荷已将密钥复制至外部位置,仅卸载软件包无法保障安全。
目前尚无公开证据显示本次攻击直接造成加密货币资产损失,但对于开发钱包应用、交易系统、DeFi协议或交易所集成方案的团队而言,攻击路径已清晰呈现。受信任模板中的隐藏脚本可在监控系统发现异常前完成内网渗透。最稳妥做法是将受影响的安装流程与CI任务视作已暴露状态,直至完成对日志、运行器、凭证与依赖路径的全面审计。
声明:文章不代表币圈网立场和观点,不构成本站任何投资建议。内容仅供参考!
免责声明:本站所有内容仅供用户学习和研究,不构成任何投资建议.不对任何信息而导致的任何损失负责.谨慎使用相关数据和内容,并自行承担所带来的一切风险.