九个存在九年的 npm 软件包遭劫持 通过混淆脚本窃取 API 密钥

网络安全研究人员发现，个存过混npm软件包注册表上多个加密货币相关软件包遭劫持 ，遭劫这些恶意软件包会窃取环境变量等敏感信息  。持通

Sonatype研究员Ax Sharma表示 ："其中部分软件包已在npmjs.com上存在超过9年
 ，淆脚原本为区块链开发者提供合法功能 。本窃但[...]这些软件包的密钥最新版本都植入了混淆脚本。"

受影响软件包清单

以下是个存过混遭劫持的模板下载软件包及其版本号 ：

country-currency-map (2.1.8)bnb-javascript-sdk-nobroadcast (2.16.16)@bithighlander/bitcoin-cash-js-lib (5.2.2)eslint-config-travix (6.3.1)@crosswise-finance1/sdk-v2 (0.1.21)@keepkey/device-protocol (7.13.3)@veniceswap/uikit (0.65.34)@veniceswap/eslint-config-pancake (1.6.2)babel-preset-travix (1.2.1)@travix/ui-themes (1.1.5)@coinmasters/types (4.8.16)恶意代码分析

软件供应链安全公司分析发现，这些软件包被植入了两个高度混淆的遭劫恶意脚本："package/scripts/launch.js"和"package/scripts/diagnostic-report.js"
。

这些JavaScript代码会在软件包安装后立即执行，持通专门窃取API密钥 、淆脚访问令牌
、本窃SSH密钥等敏感数据，密钥并将其外泄至远程服务器("eoi2ectd5a5tn1h.m.pipedream[.]net")。亿华云个存过混

值得注意的遭劫是，相关GitHub代码库均未包含这些恶意修改
，持通攻击者如何推送恶意代码仍是个谜 。目前尚不清楚此次攻击的最终目标  。高防服务器

攻击溯源分析

Sharma推测："我们假设劫持原因可能是npm维护者旧账户遭入侵，可能是通过凭证填充攻击（攻击者利用先前泄露的用户名密码组合尝试登录其他网站），或是过期域名被接管。"

"考虑到多个不同维护者的源码下载项目同时遭攻击 ，第一种情况（维护者账户被接管）的可能性远大于精心策划的钓鱼攻击。"

安全建议

这一发现凸显了启用双因素认证(2FA)保护账户的重要性 。同时也暴露出开源项目生命周期结束后难以实施安全防护的挑战
。建站模板

Sharma强调："该案例表明亟需加强供应链安全措施，提高对第三方软件注册表的监控警觉性。企业必须在开发流程的每个阶段优先考虑安全性，以降低第三方依赖带来的风险 。"

免费模板