NPM套件供應鏈攻擊PhantomRaven再度出現,攻擊者4個月內發動3波攻擊活動
攻擊事件概要
資安公司Koi Security於2025年10月揭露大規模NPM套件攻擊行動PhantomRaven,攻擊者從2025年8月開始,共上架126個惡意套件,累計下載超過8.6萬次。這些惡意套件透過遠端動態相依性(Remote Dynamic Dependencies, RDD)技術,躲過大多數NPM生態系統資安工具的偵測。
攻擊活動進展
根據Endor Labs的觀察,自2025年11月以來,已記錄到3波新的攻擊行動,攻擊者上架了88個惡意套件,顯示攻擊活動持續進行中。
惡意套件影響範圍
Sonatype安全研究團隊發現83個惡意套件,與Koi Security的發現相結合,使整體惡意套件數量超過200個,涵蓋多個熱門套件如`chalk`與`debug`。
攻擊技術與機制
此次攻擊採用「蠕蟲」式自動化傳播機制,惡意程式會在已遭入侵的環境中自動掃描npm專案,竄改其相依套件並重新發布,擴大影響範圍。
相關應對建議
- 審核相依套件,特別是近期更新的套件。
- 撤銷並更換NPM帳戶憑證。
- 監控是否有Trufflehog等工具偵測到異常行為。