因應軟體供應鏈攻擊,NPM新增套件暫存發布機制,降低惡意版本散佈風險
事件背景
2025年下半,NPM生態系發生Shai-Hulud 2.0供應鏈攻擊事件,攻擊者透過竊取開發者帳號與憑證,發布包含惡意程式碼的套件版本,導致大量開發者環境被汙染。
NPM強化安全機制
NPM為應對此類攻擊,已引入「套件暫存發布(staged publishing)」機制,讓維護者可在套件正式公開前,先檢查暫存套件內容,並評估是否核准發布,以降低惡意版本散佈風險。
攻擊手法與影響範圍
- 攻擊者透過釣魚手段入侵知名開發者帳號,如qix,並發布多個熱門JavaScript套件(如chalk、debug、color等)。
- 惡意版本會在安裝時觸發跨平臺遠端存取木馬(RAT),導致使用者設備被遠端控制。
- 部分惡意套件具蠕蟲式擴散能力,會自動擷取npm token並注入惡意程式碼,進一步擴大汙染範圍。
產業回應與建議
資安業者與社群提出建議,包括強化開發者帳號管理、限制套件版本更新的自動化流程,以及推動更嚴格的套件審核機制,以提升整體供應鏈安全。