标签
安全研究人员发现恶意npm包pino-sdk-v2伪装成流行的Node.js日志库pino(周下载量近2000万次),在lib/tools.js中植入混淆后的载荷。该包在require()时自动扫描项目中的.env、.env.local、.env.production等环境文件,匹配PRIVATEKEY、SECRETKEY、APIKEY等敏感字段,并通过Discord webhook将窃取的凭证发送出去,且不含任何install钩子以规避检测。如已安装该包,需立即移除并轮换所有可能泄露的密钥和凭证。
2025年9月8日,NPM包维护者Josh Junon(Qix-)收到伪造的2FA重置邮件后遭钓鱼攻击,导致chalk、debug、ansi-regex、strip-ansi、color-convert等20余个热门包被植入加密货币盗取木马,受影响包每周下载量达数十亿次。该恶意代码通过检测window.ethereum等钱包接口,替换比特币、以太坊、Solana等多链地址,并劫持Uniswap、PancakeSwap、SushiSwap等DeFi平台的交易请求。建议使用NPM Package Cooldown检查设置新版本等待期、启用Artifact Monitor监控异常发布行为,并强制执行2FA但需警惕重置机制被滥用。
npm热门类型检查库'is'包遭供应链攻击,攻击者通过钓鱼获取旧维护者的账号,利用npm所有权系统的漏洞重新获得访问权限,于2025年7月19日发布恶意版本3.3.1和5.0.0。恶意代码存在长达六小时未被察觉,该包每周有上百万次下载,影响范围涉及整个JavaScript生态。作为防御措施,建议立即检查依赖版本、启用双因素认证(2FA),并使用StepSecurity Artifact Monitor等工具实时监控发布行为。
StepSecurity于1月29日检测到npm包@kilocode/cli在发布版本时丢失了npm provenance证明(因流水线迁移),并新增了一个无二进制完整性验证的postinstall脚本,用于链接平台特定二进制文件。npm生态系统因此面临供应链信任信号被悄然削弱的潜在风险。防御建议:跨仓库迁移时保持provenance完整性、将postinstall脚本作为最后手段、并对安装时使用的二进制文件进行校验和签名验证。
安全研究人员发现vm2库存在关键沙箱逃逸漏洞(CVE-2026-22709,CVSS 9.8),攻击者可利用Promise.prototype.then回调清理机制的缺陷,在lib/setup-sandbox.js中绕过localPromise与globalPromise的处理差异,从沙箱中逃逸并在宿主机执行任意代码。vm2 3.10.1及更早版本均受影响,该库常被用于安全执行未信任代码,沙箱逃逸意味着其核心安全功能完全失效。建议立即升级至3.10.2或更高版本,并排查项目中是否通过传递依赖引入受影响版本。
StepSecurity在2025年连续第二年实现ARR 5倍增长,Harden Runner社区版采用率翻倍至10000个仓库,先后检测到tj-actions/changed-files、Shai Hulud和Nx等重大供应链攻击,其中Shai Hulud攻击被CISA引用并影响CNCF的Backstage项目。关键启示是组织需要实时可视化和强制执行机制而非事后告警,StepSecurity推出的npm冷却检查和工作流策略可有效阻止已被攻陷的第三方Action执行,防止恶意包在数分钟内扩散。
2025年11月23日至24日,npm生态爆发大规模供应链攻击"Sha1-Hulud",超过780个npm包被篡改,包括Zapier、ENS Domains、PostHog等知名项目的包,CNCF的Backstage项目在运行E2E测试时执行了被污染的包。StepSecurity Harden Runner通过基线异常检测识别出攻击:恶意preinstall脚本向bun.sh和oss.trufflehog.org发起异常网络连接——这些域名从未出现在Backstage的E2E工作流历史中。该案例证明运行时监控能有效检测零日供应链攻击,启用阻断模式可直接阻止恶意连接,阻止攻击进展。
npm生态系统遭遇供应链攻击。维护者JounQin收到钓鱼邮件后泄露了npm令牌,导致eslint-config-prettier的8.10.1、9.1.1、10.1.6、10.1.7版本以及eslint-plugin-prettier、is、got-fetch等多个相关包被植入恶意代码。恶意代码在Windows系统上执行时会通过install.js加载node-gyp.dll木马(CVE-2025-54313)。防御建议:将受影响包回退至安全版本,并使用Artifact Monitor等工具监控CI/CD管道的异常发布行为。
2025年9月,JavaScript生态系统遭受多次重大供应链攻击,其中Shai-Hulud蠕虫感染了500多个npm包,Singularity攻击目标是热门的Nx构建系统,eslint-config-prettier则通过Scavenger木马影响了每周3000万次下载量的用户。StepSecurity推出的npm Package Search工具可快速追踪任意npm包在组织内各Pull Request中的引入情况,将原本需要数小时的溯源工作缩短至秒级。组织应在供应链攻击发生时立即评估影响范围并采取针对性补救措施。