蠕蟲程式CanisterWorm於NPM儲存庫自我複製
事件背景
近期資安領域出現新的供應鏈攻擊事件,攻擊者發動蠕蟲程式CanisterWorm,於NPM(Node Package Manager)儲存庫中進行自我複製,擴散惡意套件。此事件與過去的攻擊如Shai-Hulud、SANDWORM_MODE類似,皆透過自動化方式在開發環境中擴散,並竊取開發者憑證與機密資訊。
攻擊機制與影響
CanisterWorm蠕蟲程式能自動在NPM儲存庫中複製自身,並將新套件上架,導致大量無功能或惡意套件充斥儲存庫。這些套件不僅會在開發環境中執行,還可能竊取加密金鑰與CI/CD流程中的敏感資料,對開發者與企業造成嚴重資安風險。
相關研究與警示
- 資安公司CrowdStrike指出,NPM套件遭「沙蟲」感染,具自我複製能力,開發者應立即檢查依賴套件。
- 趨勢科技研究顯示,Shai-Hulud蠕蟲專為利用社群信任設計,突顯NPM供應鏈的脆弱性。
- 多家資安業者警告,惡意套件透過自動化方式快速擴散,已累積數萬至超過10萬個,嚴重影響NPM生態系統的穩定性。
應對建議
開發者應採取以下措施:鎖定可疑依賴套件,並在CI/CD流程中加入嚴格的套件掃描機制。同時,應將NPM視為不可信的輸入來源,並定期審視套件的更新歷史與來源可信度。