NPM套件供應鏈攻擊PhantomRaven再度出現,攻擊者4個月內發動3波攻擊活動
攻擊事件概況
資安公司Koi Security於2025年10月揭露大規模NPM套件攻擊行動PhantomRaven,攻擊者從2025年8月開始上架126個惡意套件,累計下載超過8.6萬次。後續Sonatype發現83個惡意套件,使總數超過200個。
攻擊手法與機制
攻擊者利用遠端動態相依性(Remote Dynamic Dependencies, RDD)技術,躲過大部分NPM生態系統資安工具的偵測。惡意套件會在開發人員的專案中自動植入,並透過相依性鏈路擴散。
後續發展與新動向
- Endor Labs指出,自2025年11月以來,已觀察到3波新的攻擊行動,攻擊者上架88個惡意套件。
- 惡意程式以「蠕蟲」方式運作,具備自動化傳播能力,會在已遭入侵環境中掃描npm專案,自動竄改相依套件並重新發布。
- 攻擊者將惡意程式碼主動貢獻至開放原始碼專案,並在維護人員無察覺下植入,顯示攻擊焦點正從套件層面轉向開發源頭。
相關安全建議
開發人員應審核近期更新的套件,特別是熱門或高使用率的套件,並定期監控NPM帳戶與相依性變更。同時建議撤銷並更換NPM帳戶憑證,並啟用Trufflehog等工具進行異常監控。