标签
2026年4月30日,PyPI上广受欢迎的深度学习框架lightning(前PyTorch Lightning)的2.6.2和2.6.3版本被发现供应链投毒:导入包时自动下载Bun运行时并执行11MB混淆载荷routerruntime.js,窃取令牌、凭证、环境变量和云端密钥,并利用受害者GitHub凭证将窃取数据提交至代码库,同时感染机器上的npm包tarball。上一干净版本为2026年1月30日发布的2.6.1,Lightning AI的GitHub账号存在凭证泄露迹象。该攻击属于"Shai-Hulud"供应链攻击家族,载荷存于运行时下载的外部JS文件,静态分析无法完全揭示其能力,开发者应立即回退至2.6.1并审查凭证。
Shai-Hulud蠕虫已感染第三个npm包:intercom-client@7.0.4(周下载量361,510次),攻击者通过被劫持的GitHub Actions OIDC发布管道于4月30日14:41 UTC发布恶意版本,SLSA provenance签名缺失。该Payload(routerruntime.js)从窃取GitHub/npm令牌升级为多云凭证扫描器,可从AWS元数据端点(169.254.169.254)、GCP元数据服务器(metadata.google.internal)及Azure连接字符串中提取凭证,并通过api.github.com建立私有仓库完成数据外泄。建议立即降级至7.0.3并轮换所有CI/CD环境中暴露的云凭据。
攻击者利用被盗的Bitwarden工程师GitHub账户,通过OIDC可信发布机制在npm上发布了被篡改的@bitwarden/cli@2026.4.0版本。该版本包含一个preinstall钩子,会静默下载Bun运行时并执行9.7MB的混淆恶意程序,专门窃取SSH密钥、GitHub令牌、云凭证及AI工具配置(包括~/.claude.json和MCP服务器配置),数据通过AES-256-GCM加密后外传至冒充Checkmarx的audit.checkmarx.cx域名,GitHub令牌还可被武器化用于向开发者可达的所有仓库注入恶意工作流。
GitGuardian研究发现,攻击者正通过npm、PyPI、Docker Hub等包管理生态系统的供应链活动,大量窃取开发者工作站上的凭证。2025年在GitHub公开提交中检测到超过2860万个新Secrets,同比增长34%;在Shai-Hulud研究中,6943台被入侵机器发现33185个唯一凭证,其中至少3760个在被发现时仍有效。AI编程工具加剧风险——允许Claude Code等助手共同提交代码的开发者,每个提交泄露的Secrets是普通开发者的两倍。防御关键是将安全控制前移至开发者本地环境:通过ggshield IDE扩展、pre-commit/pre-push钩子及AI工作流钩子,在凭证进入Git历史或共享基础设施前完成检测和阻断。
npm包node-env-resolve实为完整的远程访问木马(RAT),伪装成轻量级环境配置解析器,通过postinstall钩子在受害者设备(Windows/macOS/Linux)上植入持久化后门,连接C2服务器152.67.0.53:8471,具备实时屏幕监控、麦克风/系统音频捕获、键盘鼠标远程控制、浏览器历史窃取及任意文件读写能力。该包由账户user0001发布,30天内下载量达1293次,技术特征与朝鲜DPRK主导的"Contagious Interview"攻击活动中使用的OtterCookie RAT工具包完全匹配。若已安装该包,需立即删除并检查%APPDATA%\node-gyp-cache(Windows)或~/.node-gyp-cache(macOS/Linux)目录下是否存在异常持久化文件。
恶意npm包common-tg-service(发布者shetty123,共502个版本)伪装成NestJS Telegram工具,实际上是账号接管框架,在运行时自动为受害账号设置硬编码密码Ajtdmwajt1@、植入恢复邮箱god blessindia143@gmail.com、劫持Telegram 2FA确认码,并通过IMAP自动提交。配套服务端ams-ssk部署于cms.paidgirl.site和promoteClients2.glitch.me,两包构成匹配的攻击基础设施,目标是印度Telegram账号进行支付欺诈。若已安装该包,应立即移除依赖并重置相关账号的2FA密码与恢复邮箱,同时封禁paidgirl.site、helper-thge.onrender.com等IOC地址。
攻击者loltestpad时隔16天重返npm,发布exiouss@1.0.4包并新增bin/chromecookies.ps1脚本,可通过Windows DPAPI和AES-256-GCM解密Chrome、Edge、Brave中OpenAI/ChatGPT的会话cookie。该包伪装成考试作弊工具,针对安装此工具的学生群体,其ChatGPT Plus订阅可被攻击者劫持和冒用。凡运行过exiouss的系统应视为已沦陷,需检查%LOCALAPPDATA%\Microsoft\Windows\Diagnostics\目录并轮换浏览器凭证。
恶意npm包redeem-onchain-sdk伪装成Polymarket链上SDK,在require()导入时自动窃取SSH私钥、AWS凭证、npm令牌、Docker认证、Chrome已保存密码及.env文件,将一个月git日志一并打包,通过AES-256-GCM加密后经TCP socket发送至托管在AWS EC2(18.208.244.120:9999)的C2服务器,窃毕后自删除并改写package.json以掩盖痕迹。该包维护者ryanmccollum1同期还上架了period-newline、nicegui两个携带相同载荷的恶意包,以及四个以AI智能体工具链为目标的"可信种子"包。防御要点:安装前审查维护者历史与入口文件副作用,已中招者可凭硬编码密钥00112233445566778899aabbccddeeff00112233445566778899aabbccddeeff解密外泄流量。
恶意包npm-global-util(由raya4321发布)通过preinstall钩子窃取系统凭证(npm令牌、SSH密钥、AWS/GCP凭证、K8s令牌),并利用窃取的npm发布令牌尝试向apple-app-store-server-library注入后门版本。同一维护者还发布了15个伪装成Apple内部工具的恶意包,全部针对Apple开发者环境和Kubernetes集群。防御措施:检查依赖链中是否存在raya4321维护的包,并使用vet等工具扫描。
Bitwarden/CLI的npm包被入侵,恶意代码将数据发送至audit.checkmarx.cx,并通过GitHub提交中的beautifulcastle和LongLiveTheResistanceAgainstMachines标记进行C2通信。该攻击还针对Claude Code等六款AI编程助手,在~/.bashrc和~/.zshrc中植入反AI宣言。研究确认攻击通过被篡改的Checkmarx KICS Docker镜像利用Dependabot自动更新传播,建议对依赖更新添加冷却机制。
2026年4月21日至23日,三起供应链攻击同时针对npm、PyPI和Docker Hub展开。攻击者通过被篡改的Checkmarx KICS镜像、pgserve蠕虫(CanisterSprawl)和xinference包窃取API密钥、云凭证、SSH密钥和环境变量。TeamPCP被确认策划了KICS和xinference攻击,而CanisterSprawl蠕虫使用Internet Computer Protocol作为C2通道,能跨生态系统自我传播。防御关键是:即使包已运行,也要立即轮换所有可能被访问的密钥,因为三个攻击活动的唯一目标都是从开发环境和CI/CD管道中提取凭证。
2026年5月,自动LLM代理(如hackerbot-claw)通过恶意pull request成功入侵了400+个流行包(包括@tanstack/和@mistralai)。攻击者利用pullrequesttarget工作流从fork提取代码,通过表达式注入(V1)、pwn request(V2)或缓存污染(V5)等向量窃取CI凭证(GitHubToken、npm token、云凭证),并强制推送发布标签污染下游用户。防御关键是维护者批准前必须审查PR元数据,工作流应避免将不可信输入插入shell命令,且缓存key应按ref或SHA作用域隔离。
PMG(Package Manager Guard)新增“依赖冷却”功能,可过滤npm注册表元数据,自动屏蔽最近N天(如5天)内发布的新版本,使版本解析优先选择旧版本或导致安装失败。该功能需启用代理模式,当前仅支持npm生态系统,旨在降低恶意包或匆忙发布被semver范围自动引入的供应链攻击风险。
攻击者以“WhatsApp AI控制设备”为幌子,在npm发布恶意包ixpresso-core(由账户loltestpad发布),实际为名为Veltrix的Windows木马。该木马通过Cloudflare隧道暴露远程控制面板,窃取Chrome/Brave/Edge浏览器密码和信用卡、通过DPAPI提取Discord/Telegram会话令牌、监控剪贴板和按键、扫描加密钱包种子短语,并利用WindowsHealthMonitor计划任务实现持久化。npm已下架该包及同账户的godsplan和eyevox;任何安装过这些包的设备均应视为已沦陷,需立即轮换所有浏览器凭证、撤销Discord令牌并清除Telegram会话目录。
npm用户user0001发布了两个恶意包dom-utils-lite和centralogger,通过postinstall钩子执行setup.js,从Supabase存储桶下载攻击者的SSH公钥并追加到~/.ssh/authorizedkeys,同时将受害者IP、用户名和主机名上传到同一Supabase项目,并在index.js中设置每60秒重试的持久化机制。centralogger的5个版本在约7小时内密集发布,表明攻击者在调试触发器。防御建议:检查~/.ssh/authorizedkeys中标记为ssh-key-auto-sync的条目并删除,删除任何未知公钥,终止相关残留进程,并审查CI/CD流水线中的依赖。