供應鏈攻擊鎖定NuGet與NPM套件生態系,竊取憑證與敏感資訊並建立遠端控制能力
惡意NuGet與NPM套件事件概述
近期開源套件生態系頻繁出現供應鏈攻擊事件,軟體供應鏈安全公司Socket揭露4個惡意NuGet套件,專門鎖定ASP.NET開發者,竊取其帳號與權限資料,並企圖操控應用程式授權機制,在系統中建立長期後門。同時,資安業者Tenable也發現一款惡意NPM套件,利用開源指揮控制框架Mythic執行系統偵察與資料竊取。
惡意套件的運作機制
- 惡意NuGet套件透過相依套件植入後門,操控ASP.NET授權機制,使開發者無法有效監控與管理應用程式權限。
- 惡意NPM套件透過釣魚郵件(如npmjs.help)竊取開發者憑證,繞過二因子驗證,並將後門程式碼寫入如`chalk`、`debug`等熱門套件。
- 部分惡意套件具備自我傳播能力,能自動蒐集開發者憑證與系統敏感資訊,並透過公開威脅或暗網勒索進行擴散。
攻擊影響範圍與規模
攻擊事件影響範圍廣泛,包括NPM生態系統中超過187個熱門套件被惡意軟體入侵,部分惡意套件一週內下載超過200萬次,涉及20餘個惡意開源套件,嚴重影響使用者憑證安全。
此外,亞馬遜研究人員發現NPM註冊表中存在超過15萬個惡意套件,這些套件透過自我複製的循環依賴鏈,隱晦操控開源獎勵協定tea.xyz的評分機制,從而進行大規模代幣挖礦。
相關資安組織與應對
資安機構如Trend Micro、Sonatype與TWCERT/CC已針對NPM與NuGet生態系的攻擊事件進行研究與警示,並呼籲開發者加強憑證管理與套件審核機制,以降低供應鏈攻擊風險。