資訊中心管理
NPM生態系統受攻擊 自我傳播惡意程式入侵套件 引發重大供應鏈事件
下一篇 - 從s1ngularity 供應鏈攻擊事件看對雲端與AI安全的意涵

NPM生態系統受攻擊 自我傳播惡意程式入侵套件 引發重大供應鏈事件

撰文 | 整理及翻譯|叡揚資訊 資安直屬事業處
NPM(Node Package Manager)生態系統近期遭遇迄今為止規模最大的供應鏈攻擊之一,超過187個熱門套件被惡意軟體入侵,該惡意軟體具備自我傳播能力並能自動蒐集憑證。受影響套件每週下載量龐大,包括angulartics2、ngx-toastr、@ctrl/tinycolor等。此次攻擊顯示網路犯罪者正進化攻擊手法,開發出類似「蠕蟲」的惡意程式,可自動在軟體供應鏈中擴散。本文將對攻擊方法、惡意載荷技術能力,以及與此之前所未有供應鏈入侵的IOC進行完整分析。

NPM 供應鏈攻擊總覽

這起攻擊始於駭客協同入侵多個套件維護者帳號,並成功滲透橫跨不同組織的維護者的帳號,得以將惡意程式碼植入套件中。

本次攻擊最具威脅之處,在於惡意程式能自動在 NPM 生態系統中擴散。惡意程式會自動修改 package.json 檔案,並透過合法的維護者憑證重新發佈含有後門的版本。

透過自動化擴大攻擊面

不同於傳統需人工操作的供應鏈攻擊,這次的惡意程式則以真正的「蠕蟲」方式運作,具備自動化傳播能力。它會在已遭入侵的環境中掃描 NPM 專案,自動竄改其相依套件,並重新發布內嵌惡意程式的版本,形成指數型擴散模式,能在短時間內危及整個軟體生態系統。

其惡意程式分析

此惡意載荷被設計可在多種環境中運作,包括開發者工作站、CI/CD 管線以及生產伺服器,藉此最大化其憑證竊取與外洩的可能性。

初始執行與持續性機制

該惡意程式透過NPM套件的生命週期掛鉤(lifecycle hooks)觸發,通常發生在安裝或更新套件的過程中。

多階段憑證蒐集

惡意程式分為多個階段,針對不同環境設計協同運作機制,既能有效蒐集憑證,又能保持隱蔽性。

階段一:環境偵察與TruffleHog佈署

惡意程式首先下載並執行 TruffleHog,這是一款合法的開源憑證掃描工具,用來在遭入侵的系統中系統性搜尋外洩的密鑰與憑證。

階段二:雲端中繼資料端點利用

該惡意程式專門鎖定雲端環境的中繼資料端點(metadata endpoints),以竊取雲端服務憑證與實例相關資訊。

階段三:GitHub儲存庫操控

惡意程式會在被入侵的GitHub帳號下建立「Shai-Hulud」儲存庫,用於儲存與整理竊取來的憑證,方便攻擊者隨時存取。

進階傳播機制

這款惡意程式最令人憂心的地方,在於其自我傳播能力,能夠在無需人工操作的情況下,自動在NPM套件間擴散。

• 自動化套件竄改:惡意程式會在遭入侵的環境中掃描package.json檔案,並自動竄改其內容,加入惡意相依套件或生命週期掛鉤(lifecycle hooks)。

• GitHub Actions 濫用:該惡意程式利用 GitHub Actions 來自動化憑證外洩,並在儲存庫更新過程中維持持續性。

影響與生態系統衝擊

這起 NPM 供應鏈攻擊展現了攻擊者能力的進化,並對整個軟體開發生態系統帶來前所未有的風險。

指數型傳播潛力

其「蠕蟲式」行為具備指數級擴散效應,每個遭入侵的套件都有可能進一步危及多個下游套件,形成連鎖反應,在數小時內便可能影響成千上萬個專案。

針對開發者的精準攻擊

透過專門鎖定開發者環境,攻擊會直接影響擁有較高權限並能存取多個系統、版本庫及雲端環境的個人,讓每次感染的潛在影響力被大幅放大。

自動化大規模憑證蒐集

透過整合 TruffleHog,攻擊者得以在完整的開發環境中系統性地搜尋並蒐集憑證,可能外洩的敏感資訊包括:

• GitHub 個人存取權杖

• 雲端服務憑證(AWS、GCP、Azure)

• 資料庫連線字串

• API 金鑰與驗證權杖

• SSH 私鑰與憑證

CI/CD管線污染

由於該惡意程式能夠竄改package.json並重新發布套件,它具備污染 CI/CD 管佈的能力,進一步可能影響到生產部署,甚至在已上線的應用程式中留下持續性的後門。

攻擊歸因與威脅態勢

此次攻擊展現出與s1ngularity/nx威脅團體相符的特徵。該組織過去曾發動過多起精密的 NPM 供應鏈攻擊,而這次使用的 「Shai-Hulud」儲存庫命名方式也與其既有攻擊模式一致,顯示該攻擊者仍在持續活動。

為防範類似的供應鏈攻擊與自動化憑證蒐集,開發者與組織應採取以下措施:

• 使用 package lock 檔防止意外版本更新。

• 對關鍵應用實施私有 NPM 儲存庫。

• 定期審查與輪換維護者存取憑證。

• 啟用分支保護規則,要求 pull request 審核。

• 對所有 commit 強制執行安全掃描。

• 監控異常的儲存庫建立或可見性變更。

此次分析的高階自我傳播惡意程式,代表了供應鏈威脅的顯著升級。透過自動化擴散、全面憑證蒐集以及雲端原生環境利用,該惡意程式展示出攻擊者如何適應現代開發流程與基礎建設。

這起事件凸顯了供應鏈安全的重要性,以及在整個軟體開發生命週期中採取全面性資安措施的必要性。隨著供應鏈攻擊愈發自動化與精密,主動防護與全面監控顯得尤為重要。NPM 生態系統規模龐大,加上開發社群對第三方套件的高度依賴,使其成為網路犯罪者偏好的攻擊目標,整個軟體開發社群需提升警覺並加大安全投入。隨著套件生態系統持續擴大、開發流程日益雲端化,可以預期未來將出現更多針對現代軟體開發核心元素的複雜攻擊。

關於Mend.io Open Source管理及檢測

Mend.io 是專為企業管理開源軟體(OSS)的安全性和合規性而設計的 SCA 軟體組成分析平台,能幫助企業自動化開源元件風險管理,確保合規並提升軟體供應鏈安全。Mend.io 可即時掃描應用程式中的 OSS 套件,識別其中的安全漏洞和合規性風險,並提供修復漏洞和解決合規性問題的建議,降低企業因開源套件漏洞而面臨的資安風險。同時,Mend.io 也具備授權合規性管理功能,可自動識別軟體中的開源授權,確保符合企業內部政策與法規要求,避免潛在的法律風險。此外,還能生成軟體物料清單(SBOM),並提供持續監控和更新。

透過 Mend.io,企業可將開源安全與合規檢測無縫整合至 CI/CD 開發流程,在開發早期就能發現與解決問題,減少修復成本與合規性風險並提升開發效率。

點擊連結後,於文章最下方留下資訊,獲取遭入侵的套件清單>>>https://yourls.gss.com.tw/6mlb1ycwrl08

了解 Mend.io Open Source管理及檢測>>>https://www.gss.com.tw/mend-io