網頁應用程式框架TanStack的NPM套件遭Mini Shai-Hulud供應鏈攻擊
攻擊背景與動態
駭客組織TeamPCP自3月下旬起持續發動供應鏈攻擊,其後續行動針對NPM套件生態系展開,其中「Mini Shai-Hulud」蠕蟲型攻擊被廣泛報導,目標為開發環境與CI/CD管線,竊取開發者環境中的敏感資料。
攻擊手法與擴散機制
- 攻擊者透過盜取NPM套件維護人員帳號,將惡意安裝腳本寫入多個熱門套件。
- 惡意套件會自動發布惡意版本,形成自我複製與傳播的閉環,擴散至數千個開源套件。
- 攻擊事件已導致超過500個NPM套件被汙染,部分惡意套件在一週內下載超過200萬次。
影響範圍與案例
受影響的套件不僅包括TanStack,還涵蓋SAP開發的NPM套件、PyTorch Lightning等深度學習框架,顯示攻擊具有廣泛性與針對性。
後續安全建議
安全團隊強調,組織應加強對開源套件的審核機制,並定期檢查依賴的套件版本,以避免因供應鏈漏洞導致的資料外洩與後門風險。