黑客攻陷眾多流行開源套件,持續進行供應鏈攻擊
攻擊範圍與影響
在2025年9月,針對npm生態系統的一場廣泛供應鏈攻擊已影響多個流行開源套件。此攻擊最初針對CrowdStrike的npm套件,並透過被入侵的套件擴散,影響範圍持續擴大。
攻擊手法與技術細節
攻擊者使用名為「Shai-Hulud」的惡意蠕蟲,透過被入侵的開源套件分發,竊取雲端服務憑證,並部署惡意載荷。此攻擊不僅針對JavaScript生態系統,也影響到多個廣為人知的開源項目。
已知受影響的套件
- 18個廣為人知的npm套件被攻陷,包括debug、chalk等。
- 目前已標記416個被入侵的npm套件,這些套件擁有數百萬次下載。
- 部分安全相關套件(如jsonwebtoken、validator)也發現存在風險。
後續發展與風險警示
專家指出,隨著組織對第三方軟體、開源庫與供應鏈的依賴增加,供應鏈攻擊的頻率與影響力持續上升。開發者應加強對套件依賴的審查,並定期進行安全檢測,以降低風險。