【資安日報】3月24日,駭客組織TeamPCP對程式碼掃描工具、NPM儲存庫從事供應鏈攻擊
事件概述
駭客組織TeamPCP針對程式碼掃描工具與NPM儲存庫發動供應鏈攻擊,透過入侵GitHub Actions流程,植入竊資軟體,可能影響使用該工具進行自動化掃描的開發與企業環境。
攻擊手法與影響範圍
- 駭客透過網路釣魚攻擊竊取維護者帳號,並在未經授權的情況下將惡意程式碼植入NPM套件中。
- 惡意程式碼被廣泛部署於多個開發者使用的JavaScript套件,導致大量裝置被後門控制。
- 攻擊事件已導致多個熱門NPM套件(如「is」)被植入後門,影響開發團隊的系統安全。
相關工具與生態系統
此事件突顯了開放原始碼生態系統中的供應鏈風險,特別是NPM與GitHub Actions等自動化工具的整合流程,若缺乏嚴格驗證機制,將成為攻擊者擴散惡意軟體的管道。
應對建議
開發團隊應立即檢查所使用的第三方套件版本,並監控NPM註冊表的更新活動,以避免被植入惡意程式碼。