NPM 蠕蟲供應鏈攻擊竊取開發環境憑證與加密貨幣資產

駭客組織 TeamPCP 發動新一波攻擊

3 月下旬，駭客組織 TeamPCP 發動一連串供應鏈攻擊，其中包含蠕蟲程式 CanisterWorm。近期研究人員發現類似的蠕蟲活動再度出現，資安公司 Socket 揭露新一波 NPM 蠕蟲攻擊，指出駭客攻擊手法與一個月前出現的 CanisterWorm 相當類似。

攻擊手法與竊取目標

此次攻擊採用的惡意程式具備四大功能：首先，會從開發環境收集各式機密資料，包括 AWS、Azure 與 GCP 雲端憑證，以及 Kubernetes 與 Docker 組態配置、SSH 金鑰與組態；其次，利用 ICP Canister 進行擴散；再次，嘗試竊取加密貨幣錢包金鑰；最後，利用自傳播機制擴散至其他專案與套件。

惡意套件與擴散機制

供應鏈安全業者 Socket 在 2026 年 2 月 20 日發布調查報告，揭露一波仍在擴散中的 NPM 供應鏈攻擊行動。至少有 19 個惡意套件被植入蠕蟲程式，不只竊取加密貨幣錢包金鑰與 CI/CD 環境機密，更透過遭駭帳號進行擴散。攻擊中用到的惡意檔案如 Shai-hulud 蠕蟲，會經由已遭駭入的套件來散佈，能竊取雲端服務的金鑰、部署用來掃描機密的工具，並且擴散至其他帳號。

建議防護措施

針對此類攻擊，建議立即審核 package.json 和 package-lock.json 文件，假設任何被感染的主機都是完全被攻擊的，應更換密鑰並重新安裝系統。此外，需留意惡意套件如 plain-crypto-js 會在 npm install 時執行惡意程式，並發布偽裝版本以混淆視聽。