19個惡意NPM套件發動SANDWORM_MODE蠕蟲攻擊，竊取加密貨幣金鑰與CI/CD機密，還鎖定AI開發工具

攻擊概況

供應鏈安全業者Socket在2026年2月20日發布調查報告，揭露一波仍在擴散中的NPM供應鏈攻擊行動。至少有19個惡意套件被植入蠕蟲程式，不只竊取加密貨幣錢包金鑰與CI/CD環境機密，還會濫用遭竊的NPM與GitHub帳號持續擴散。

Socket將這波攻擊命名為SANDWORM_MODE，該蠕蟲透過MCP注入技術，竊取開發者使用的加密貨幣金鑰、CI/CD環境機密，以及AI開發工具的API金鑰。

惡意套件會自動透過NPM與GitHub帳號進行擴散，利用被竊的開發者憑證，進一步感染其他開發項目，形成自我複製的惡意擴散鏈。