标签
2026年5月,自动LLM代理(如hackerbot-claw)通过恶意pull request成功入侵了400+个流行包(包括@tanstack/和@mistralai)。攻击者利用pullrequesttarget工作流从fork提取代码,通过表达式注入(V1)、pwn request(V2)或缓存污染(V5)等向量窃取CI凭证(GitHubToken、npm token、云凭证),并强制推送发布标签污染下游用户。防御关键是维护者批准前必须审查PR元数据,工作流应避免将不可信输入插入shell命令,且缓存key应按ref或SHA作用域隔离。
PMG(Package Manager Guard)新增“依赖冷却”功能,可过滤npm注册表元数据,自动屏蔽最近N天(如5天)内发布的新版本,使版本解析优先选择旧版本或导致安装失败。该功能需启用代理模式,当前仅支持npm生态系统,旨在降低恶意包或匆忙发布被semver范围自动引入的供应链攻击风险。
攻击者以“WhatsApp AI控制设备”为幌子,在npm发布恶意包ixpresso-core(由账户loltestpad发布),实际为名为Veltrix的Windows木马。该木马通过Cloudflare隧道暴露远程控制面板,窃取Chrome/Brave/Edge浏览器密码和信用卡、通过DPAPI提取Discord/Telegram会话令牌、监控剪贴板和按键、扫描加密钱包种子短语,并利用WindowsHealthMonitor计划任务实现持久化。npm已下架该包及同账户的godsplan和eyevox;任何安装过这些包的设备均应视为已沦陷,需立即轮换所有浏览器凭证、撤销Discord令牌并清除Telegram会话目录。
npm用户user0001发布了两个恶意包dom-utils-lite和centralogger,通过postinstall钩子执行setup.js,从Supabase存储桶下载攻击者的SSH公钥并追加到~/.ssh/authorizedkeys,同时将受害者IP、用户名和主机名上传到同一Supabase项目,并在index.js中设置每60秒重试的持久化机制。centralogger的5个版本在约7小时内密集发布,表明攻击者在调试触发器。防御建议:检查~/.ssh/authorizedkeys中标记为ssh-key-auto-sync的条目并删除,删除任何未知公钥,终止相关残留进程,并审查CI/CD流水线中的依赖。
AI编码代理(Claude Code、Cursor、GitHub Copilot等)现已在开发者机器、代码仓库和CI/CD管道三个阶段自主运行,构成新的供应链攻击面。Shai-Hulud活动通过被篡改的npm包窃取凭证并利用AI CLI工具侦察,Trust Wallet事件中攻击者用被盗开发者凭证发布恶意浏览器扩展,NX Build System通过VSCode扩展植入恶意代码。这些攻击均跨越开发者机器→npm注册表→CI/CD管道的完整链路,单一阶段的安全方案无法防御,需在开发环境、代码仓库和CI/CD管道同步部署安全控制。
2023年CI/CD领域发生多起重大安全事件,包括CircleCI泄露、朝鲜和俄罗斯国家行为者利用未修补的JetBrains TeamCity服务器实施攻击,以及Azure CLI和Google Cloud Build漏洞导致的密钥和供应链攻击。GitHub Actions以53%的使用率超越Jenkins成为主流平台,但超过20,000个第三方Actions的"废弃软件"风险日益突出。2024年将面临AI/ML部署扩大攻击面、监管趋严等新挑战,CISA、NIST等机构已发布CI/CD安全指南,企业需加强第三方组件审核、及时打补丁并采用CIS GitHub基准等最佳实践。
Shai Hulud攻击活动(2025年11月)和s1ngularity Nx供应链攻击(2025年8月)展示了新型攻击路径:恶意npm包或VSCode扩展在开发者机器上执行,通过后安装脚本窃取GitHub令牌、npm发布凭证、SSH密钥等敏感凭据,随后攻击者利用这些凭证入侵源码仓库并发布恶意更新。Trust Wallet浏览器扩展v2.68事件因此导致约2520个钱包地址受损、约850万美元资产流失。StepSecurity Dev Machine Guard通过在开发者工作站层面提供IDE扩展监控、本地依赖可见性及策略强制执行,为人类开发者和AI编程代理的工作流程提供防护,在凭据被窃取前阻断攻击链。
攻击者通过npm账户victim59发布三个恶意包(@genoma-ui/components、@needl-ai/common、rrweb-v1),利用依赖混淆攻击,目标包括巴西身份科技公司Unico、印度AI平台Needl.ai以及开源项目rrweb。这些包仅含preinstall和postinstall钩子,将主机名、用户名、工作目录等系统信息回传给托管在DigitalOcean的C2服务器64.227.183.144。防御措施包括在公网注册npm scope并配置.npmrc锁定私有仓库地址。
StepSecurity的AI Package Analyst和Harden-Runner于周一晚间率先检测到npm最热门HTTP客户端axios被入侵,发现恶意版本1.14.1和0.30.4注入plain-crypto-js后门,C2域名指向sfrclak.com;国家支持的攻击者同时控制了维护者的GitHub账号,删除警告Issue约20次以压制社区响应,GitHub随即封禁该账号、npm下架恶意包。axios每周下载超1亿次,是npm历史上按下载量计最大单包被黑事件,Google威胁情报组后续将攻击归因于朝鲜APT组织UNC1069(Sapphire Sleet)。防御要点:自动化供应链安全检测不可或缺,且需在维护者认证环节加强社交工程攻击防护。
2026年4月7日,恶意版本9.4.1的npm包@velora-dex/sdk被直接发布到npm注册表,攻击者在dist/index.js中注入了三行代码,payload在require()或import时立即触发,绕过了--ignore-scripts防护。该包从C2服务器89.36.224.5下载shell脚本,针对ARM64和x8664架构分别投递profiler后门,放置于~/Library/Application Support/com.apple.Terminal/目录伪装成合法文件,并通过launchctl注册为zsh.profiler持久化服务。若已安装此版本,应立即回退至9.4.0并视机器及所有可用凭据为已泄露。
2026年2月17日,npm流行AI编程助手cline的2.3.0版本被恶意发布,攻击者通过手动账号发布绕过了该项目的GitHub Actions可信发布流程,在post-install脚本中静默安装openclaw后门程序。该恶意包约被下载4000次,在约8小时后被维护者弃用。openclaw作为具有系统级权限的AI代理框架,安装后会通过launchd/systemd守护进程持久运行,可访问受害者机器上的凭据、环境变量、SSH密钥,并可能在CI/CD环境中暴露云平台凭证,构成严重供应链安全风险。
StepSecurity将其企业级开发者机器安全工具Dev Machine Guard开源,供所有开发者和安全团队免费使用。该工具是一个bash脚本,能够快速扫描并盘点开发者机器上的AI编码助手、MCP服务器配置、IDE扩展、npm包等开发者工具层,揭示传统EDR无法识别的攻击面。该工具曾帮助检测Shai-Hulud npm供应链攻击(500+个包被入侵)和s1ngularity Nx供应链攻击(构建系统被武器化窃取凭证),但当时组织难以快速确认哪些开发者机器受到影响。安全团队应使用此工具建立开发者机器的完整资产清单,防止类似供应链攻击在自家环境中潜伏。
Datadog《2026年DevSecOps状态》报告揭示,87%的组织存在可利用漏洞,71%的GitHub Actions用户从不pin action hash,50%的组织在库发布当天就引入依赖——这些漏洞直接导致tj-actions、Shai-Hulud等供应链攻击事件。StepSecurity通过Harden-Runner运行时监控检测异常行为、Orchestrate Security自动为actions pin SHA以及NPM Package Cooldown阻止发布当日依赖,在CI/CD管道层面阻断攻击链。
Wiz发布的SDLC基础设施威胁框架(SITF)识别出供应链攻击的五个关键攻击面:开发者终端、版本控制系统、CI/CD管道、包注册表和生产环境。StepSecurity基于该框架构建了覆盖四大攻击面的实际产品,包括Dev Machine Guard监控开发者环境、npm Package Search检测恶意依赖包、Harden-Runner为CI/CD管道提供运行时监控、以及Artifact Monitor验证制品完整性。该平台通过冷却期检查(阻止发布不足2天的包)和已知恶意包数据库,在代码合并前主动阻断供应链攻击,为开发者提供了框架建议到实际落地的完整防护方案。
三个恶意npm包cjs-biginteger、sjs-biginteger和bjs-biginteger(分别由ca.r.lane.es1.2.6、vanes.s.p.orit.a和a.l.l.a.nh.orca0.7发布)通过拼写错误仿冒big.js库,在big.js第605行注入加载器并依赖ts-lint-builds/sjs-lint-build1/bjs-lint-builder包,其postinstall钩子将攻击者SSH公钥写入~/.ssh/authorizedkeys、开放防火墙22端口,并窃取SSH密钥、.env文件、Solana钱包文件(id.json、config.toml)及系统指纹至两个伪装成Cloudflare的Vercel C2服务器。动态分析确认安装时触发"Adding ssh keys to authorizedkeys"和"Read ssh information"两条告警,验证了后门植入与数据外泄行为。该活动与2026年2月的dev-protocol/Polymarket供应链攻击使用相同的C2域名cloudflareinsights.vercel.app,属于同一攻击者迭代升级的工具链。若已安装相关包,需立即检查~/.ssh/authorizedkeys删除未知公钥并轮换所有凭据。