标签
Socket威胁研究团队发现恶意Go模块github.com/shopsprint/decimal(伪装自流行库github.com/shopspring/decimal)在2023年8月19日发布的v1.3.3版本中植入了后门。该模块通过init()函数每5分钟向dnslog-cdn-images.freemyip.com发送DNS TXT查询获取指令,并直接执行返回的命令。Go Module Proxy已永久缓存该恶意版本,尽管GitHub仓库已被删除,但proxy.golang.org和pkg.go.dev仍可获取该包。建议开发者立即检查go.mod中是否存在此错误拼写依赖,并旋转相关凭证。
2026年4月7日,恶意版本9.4.1的npm包@velora-dex/sdk被直接发布到npm注册表,攻击者在dist/index.js中注入了三行代码,payload在require()或import时立即触发,绕过了--ignore-scripts防护。该包从C2服务器89.36.224.5下载shell脚本,针对ARM64和x8664架构分别投递profiler后门,放置于~/Library/Application Support/com.apple.Terminal/目录伪装成合法文件,并通过launchctl注册为zsh.profiler持久化服务。若已安装此版本,应立即回退至9.4.0并视机器及所有可用凭据为已泄露。
2026年3月17日,PyPI官方包bittensor-wallet第4.0.2版被确认植入后门,上线约48小时后被下架。该恶意版本通过src/keyfile.rs中的collectformatmetrics()挂钩,在用户执行钱包解密操作时窃取coldkey/hotkey私钥,采用HTTPS域名、DGA域名和DNS隧道三种方式将加密载荷发送至C2服务器finney.opentensor-metrics.com等地址。建议受影响用户立即回退至4.0.1版并轮换全部钱包密钥。
Xygeni官方GitHub Action xygeni-action于2026年3月3日被攻陷,攻击者利用被盗的维护者凭证将mutable的v5标签重新指向包含完整C2反向shell的恶意提交(4bf1d4e),所有引用@v5的工作流在约一周内均受影响,后端向91.214.78.178发送CI runner的主机名、用户名等信息并可执行任意命令。建议立即改用v6.4.0或完整commit SHA引用,StepSecurity Harden-Runner可在运行时检测并阻断该C2回调。
StepSecurity在2024年实现ARR增长5倍,Harden Runner安全工具现已保护超过5000个开源仓库。该公司实时检测到微软Azure Karpenter Provider和Google开源项目Flank遭受的CI/CD供应链攻击,并获得MSRC致谢。此外,XZ Utils后门事件和Ultralytics被注入加密货币矿工的CI/CD攻击均表明,CI/CD管道正成为供应链攻击的主要目标,企业需采用网络和行为监控等主动防御措施保护构建流程。
XZ Utils 5.6.0和5.6.1版本遭受供应链攻击,攻击者在发布包中修改了build-to-host.m4文件,并向tests/files目录添加了恶意压缩文件bad-3-corruptlzma2.xz和good-largecompressed.lzma,在构建过程中通过sed命令修改Makefile、解压测试文件生成目标文件,并修改crc64fast.c源码注入后门。该攻击影响了几乎所有Linux发行版。使用StepSecurity Harden-Runner进行运行时监控可检测到构建过程中的异常文件写入和进程行为,证明构建环节的实时安全监控对发现此类供应链攻击至关重要。
2025年3月,攻击者通过"冒名提交"(imposter commits)技术劫持了GitHub Action tj-actions/changed-files,将超过23,000个公共仓库的发布标签重定向至恶意分叉,该攻击波及GitHub、Meta、Microsoft、HashiCorp及Hugging Face等组织。恶意代码通过memdump.py从Runner.Worker进程内存中窃取CI/CD密钥,并以双重Base64编码写入构建日志以绕过GitHub的自动掩码机制。攻击链起源于spotbugs/sonar-findbugs仓库的Pwn Request漏洞,经spotbugs、reviewdog层层传递至tj-actions,最终由StepSecurity Harden Runner通过基线监控检测到异常出站连接至gist.githubusercontent.com而暴露。防御建议包括:对CI/CD Runner实施行为监控、将Action固定至具体Commit SHA以及启用Action白名单机制。