标签
Andrew Becherer加入供应链安全公司Socket担任首位CISO。Socket目前保护超过27,000个组织,其业务聚焦于开源依赖带来的供应链风险。当前AI已生成顶级工程团队90%的代码,包劫持和开发者账户泄露从年均数起增至每周发生,Andrew此前担任Datadog和Iterable的CISO,其经验将帮助Socket强化企业级安全防护能力。
Miasma蠕虫及其PyPI变体Hades正在npm和PyPI生态系统快速传播,通过Phantom Gyp技术的binding.gyp文件和植入的init.py钩子在开发者打开项目或导入包时静默执行,从进程内存窃取发布令牌并自我复制。传统安全工具(EDR、注册表网关、SCA)无法检测这类内存驻留攻击,但Dev Machine Guard的Suspicious Files功能可自动识别相关恶意文件。
Miasma蠕虫在GitHub仓库的.github/setup.js植入约4.3MB的凭证窃取程序,8天后(6月11日)扫描发现123个仓库的665个分支仍有活跃载荷,占原始名单的70%。尼日利亚银行Summit-Bank-Limited、DeFi交易所PositionExchange、智利大学课程仓库等仍在 serving恶意代码,任何人用VS Code/Cursor/Claude Code/Gemini打开这些克隆仓库即自动触发窃取。防御关键是不要依赖提交者身份检测,而要直接扫描所有分支是否存在.github/setup.js文件,因为蠕虫用维护者自己的身份和回溯日期伪造提交以规避发现。
Socket与Replit达成合作,将Socket Firewall集成到Replit的AI驱动开发平台中,保护开发者免受恶意开源包的侵害。该防护功能在包被引入构建流程时即进行评估,可阻止typosquatting、冒充包、恶意传递依赖、恶意安装脚本和凭证窃取器等攻击。此合作使数百万开发者能够在AI自动安装依赖的过程中获得实时供应链安全防护,在恶意代码执行前将其阻断。
StepSecurity发布了新的Threat Center API端点,可按incident ID返回特定供应链事件中所有受影响的OSS组件(包括包名、版本、严重性和验证状态),使情报可直接接入企业的自动化响应和SIEM工具。该API补充了现有的检测事件、PR检查和Secure Registry防护层,形成从检测到响应的完整闭环。开发团队可通过交叉比对组件数据与自身SBOM或lockfile快速确认是否暴露,适用于tj-actions和nx等类似供应链攻击场景的自动化处置。
臭名昭著的Miasma蠕虫已开源,多个名为"Miasma-Open-Source-Release"的GitHub仓库正在传播。该蠕虫是一个完整的供应链攻击工具包,针对npm、PyPI、RubyGems、GitHub Actions及13种AI编码工具(Claude、Cursor、Copilot等),通过窃取的凭证快速传播,并利用GitHub commit搜索实现C2通信,完全无需自建服务器。防御关键在于:监控"DontRevokeOrItGoesBoom"等特定commit消息、检测Bun运行时依赖、以及防范OIDC可信发布机制被滥用,因为该蠕虫还包含删除受害者主目录的"死亡开关"。
攻击者劫持了热门AI编程工具gpt-pilot(33K星)联合创始人的GitHub账号,强制推送了名为Shai-Hulud的凭证窃取恶意软件。该恶意软件针对AWS密钥、npm令牌、GitHub密钥、Kubernetes服务账号等,通过GitHub提交消息作为隐蔽C2信道,并试图滥用Sigstore签名恶意npm包。幸运的是,项目CI中的ruff Python格式化工具意外成为防线——攻击者注入的代码不符合项目代码规范,格式化检查(E402、I001规则)两次触发CI失败,攻击者最终放弃。建议所有项目务必启用分支保护规则,防止强制推送。
Socket威胁研究团队发现Mini Shai-Hulud、Miasma和Hades供应链攻击新增23个恶意PyPI包,包括langchain-core-mcp、embiggen、ensmallen、gpsea等生物信息学和MCP主题包。该攻击迭代了投递机制:生物信息学包使用被篡改的.abi3.so原生扩展在import时执行,而langchain-core-mcp则使用.pth启动钩子搜索sys.path寻找index.js载荷并用Bun执行。恶意载荷(Hades木马)旨在窃取开发者工作站和CI/CD环境中的GitHub、npm、PyPI、云凭证、SSH密钥等高价值凭据。防御要点:检查Python环境中的.pth文件、异常的index.js、Bun下载逻辑及新引入的.abi3.so扩展。
Socket检测到PyPI上37个恶意wheel包,通过Python -setup.pth文件在启动时自动执行,下载运行Bun v1.3.13并执行混淆的JavaScript载荷index.js,窃取开发者及CI/CD凭证(GitHub、npm、PyPI、AWS、GCP、Azure、Kubernetes、Vault、SSH密钥、Claude/MCP配置等)。受影响的主要是生物信息学工具包,包括dynamo-release、spateo-release、coolbox、ufish/napari-ufish等,这些是研究社区广泛使用的真实项目。该攻击为Mini Shai-Hulud/Miasma恶意家族的"Hades"分支,载荷通过GitHub创建仓库(描述"Hades - The End for the Damned")并上传加密结果文件进行外泄。防御建议:监控.pth文件的可执行import行为、temp目录的Bun下载行为;已安装受影响版本的用户应清除恶意包并轮换所有相关凭证。
2026年6月5日,Miasma蠕虫活动攻击了微软的Azure GitHub组织。攻击者使用此前已泄露的贡献者账户向Azure/durabletask仓库推送了恶意提交(5f456b8),植入了.claude/settings.json、.cursor/rules/setup.mdc、.vscode/tasks.json等配置文件,这些文件在开发者用Claude Code、Cursor或VS Code打开仓库时会自动执行窃取凭证的恶意代码(.github/setup.js,4.6MB)。GitHub随后在105秒内自动封禁了四个微软GitHub组织下的73个仓库,包括Azure/functions-action等关键仓库,导致大量CI/CD流水线中断。该事件表明供应链攻击已从包管理器安装钩子转向AI编码工具的自动执行机制。
袭击者利用恶意提交(冒用github-actions身份)向GitHub仓库(如icflorescu/mantine-datatable)注入载荷,通过VS Code、Claude Code、Cursor、Gemini CLI的自动执行机制(SessionStart钩子、folderOpen任务等)传播Miasma蠕虫的Bun窃密木马。开发者克隆仓库并用编辑器打开时,木马自动执行,窃取AWS/Azure/GCP等云凭证并回传至攻击者公开仓库。该攻击将触发机制从npm安装脚本扩展到编辑器自动运行功能,标志着供应链攻击已从包管理器延伸至开发工具链。
RubyGems 4.0.13 和 Bundler 4.0.13 引入了可选的 cooldown 功能,允许开发者在 Gemfile 中配置延迟期(如 source "https://rubygems.org", cooldown: 7),使新发布的 gem 版本在指定天数内不会被解析,从而防止恶意版本在维护者和安全研究人员响应前被自动化 CI 或安装流程立即采纳。该功能利用 RubyGems.org v2 紧凑索引中的发布时间戳进行过滤,依赖解析时自动跳过冷却窗口内的版本,也可通过 --cooldown 0 命令行参数绕过,适用于供应链时序防御。
pnpm 11.5更新修复了一个误报问题:当包使用npm的暂存发布(staged publishing)流程时,之前会被错误标记为从可信发布降级至传统令牌发布的威胁警告。问题源自pnpm通过npmUser字段推断可信发布状态,但暂存发布审批人会被记录在该字段中导致误判。Kevin Deng在GitHub issue中报告此问题后,pnpm 11.5现在通过识别元数据中的approver字段,将暂存发布批准视为最高信任信号,解决了trustPolicy: no-downgrade设置的误报问题。
StepSecurity发现一个自我复制型蠕虫正在npm注册表中传播,该蠕虫利用binding.gyp文件触发node-gyp在npm install期间静默执行恶意代码,绕过了常规安全工具对package.json脚本的监测。该蠕虫会窃取npm、GitHub、AWS、GCP、Azure、HashiCorp Vault、Kubernetes和RubyGems的凭证,然后利用这些凭证向受害者维护的其他包注入恶意代码并发布有毒版本,从而在生态系统中持续扩散。目前已确认感染了autotel、awaitly、executable-stories等数十个包的多个版本,防御要点是监控binding.gyp文件的异常shell扩展行为而非仅依赖package.json脚本检查。
2026年5月至6月,四起供应链攻击(分别为Megalodon、Laravel-Lang、TrapDoor和Miasma)针对GitHub、npm、PyPI、Crates.io及Composer生态系统同时展开,6小时内感染5,561个代码库、700余个Composer包版本、32个Red Hat npm包。攻击通过恶意提交、后门工作流、Git标签重写及开源蠕虫变体(Miasma继承自Mini Shai-Hulud)窃取CI密钥、云凭证、SSH密钥和OIDC令牌,甚至向LangChain、LlamaIndex等热门项目提交PR植入后门文件。攻击者无需零日漏洞,仅需获取开发者账户或污染可信包即可在开发者环境中执行payload,核心目标是从CI/CD流程和开发者机器中提取凭证。