标签
StepSecurity将其企业级开发者机器安全工具Dev Machine Guard开源,供所有开发者和安全团队免费使用。该工具是一个bash脚本,能够快速扫描并盘点开发者机器上的AI编码助手、MCP服务器配置、IDE扩展、npm包等开发者工具层,揭示传统EDR无法识别的攻击面。该工具曾帮助检测Shai-Hulud npm供应链攻击(500+个包被入侵)和s1ngularity Nx供应链攻击(构建系统被武器化窃取凭证),但当时组织难以快速确认哪些开发者机器受到影响。安全团队应使用此工具建立开发者机器的完整资产清单,防止类似供应链攻击在自家环境中潜伏。
2026年2月17日,npm流行AI编程助手cline的2.3.0版本被恶意发布,攻击者通过手动账号发布绕过了该项目的GitHub Actions可信发布流程,在post-install脚本中静默安装openclaw后门程序。该恶意包约被下载4000次,在约8小时后被维护者弃用。openclaw作为具有系统级权限的AI代理框架,安装后会通过launchd/systemd守护进程持久运行,可访问受害者机器上的凭据、环境变量、SSH密钥,并可能在CI/CD环境中暴露云平台凭证,构成严重供应链安全风险。
Datadog《2026年DevSecOps状态》报告揭示,87%的组织存在可利用漏洞,71%的GitHub Actions用户从不pin action hash,50%的组织在库发布当天就引入依赖——这些漏洞直接导致tj-actions、Shai-Hulud等供应链攻击事件。StepSecurity通过Harden-Runner运行时监控检测异常行为、Orchestrate Security自动为actions pin SHA以及NPM Package Cooldown阻止发布当日依赖,在CI/CD管道层面阻断攻击链。
三个恶意npm包cjs-biginteger、sjs-biginteger和bjs-biginteger(分别由ca.r.lane.es1.2.6、vanes.s.p.orit.a和a.l.l.a.nh.orca0.7发布)通过拼写错误仿冒big.js库,在big.js第605行注入加载器并依赖ts-lint-builds/sjs-lint-build1/bjs-lint-builder包,其postinstall钩子将攻击者SSH公钥写入~/.ssh/authorizedkeys、开放防火墙22端口,并窃取SSH密钥、.env文件、Solana钱包文件(id.json、config.toml)及系统指纹至两个伪装成Cloudflare的Vercel C2服务器。动态分析确认安装时触发"Adding ssh keys to authorizedkeys"和"Read ssh information"两条告警,验证了后门植入与数据外泄行为。该活动与2026年2月的dev-protocol/Polymarket供应链攻击使用相同的C2域名cloudflareinsights.vercel.app,属于同一攻击者迭代升级的工具链。若已安装相关包,需立即检查~/.ssh/authorizedkeys删除未知公钥并轮换所有凭据。
@velora-dex/sdk 的 9.4.1 版本于 2026 年 4 月 7 日遭入侵,仅在 dist/index.js 中注入三行代码,解码执行从 89.36.224.5 获取的 shell 脚本,下载并通过 launchctl 以 "com.apple.Terminal" 为伪装的 Go 语言远控木马 minirat,同时针对 Apple Silicon 和 Intel 两种 macOS 架构。攻击者利用 require() 导入即触发执行的特性精准锁定 DeFi 开发者群体。修复版本 9.4.2 在三小时后发布,受害者需删除 ~/Library/Application Support/com.apple.Terminal/profiler 文件、移除 launchctl 任务并轮换凭证。
安全研究人员发现PyPI上四个版本的恶意包hermes-px(v0.0.1-0.0.4),该包伪装成“带Tor路由的安全AI推理代理”,实际将所有AI对话转发至突尼斯某大学被入侵的AI端点(prod.universitecentrale.net),同时将用户提示和AI响应双重泄露至攻击者控制的Supabase数据库(urlvoelpilswwxkiosey.supabase.co),并注入一个245KB的被盗商业AI系统提示;更危险的是,其遥测泄露故意绕过Tor直连外网,使用户真实IP暴露。C2基础设施字符串采用XOR+zlib+base64三层加密以对抗静态分析。建议立即卸载该包并检查系统中的hermes.log文件和hermes-telemetry线程。
一个威胁行为者通过四个npm sock-puppet账户(umarbek1233、kekylf12、tikeqemif26、umarbektembiev1)发布了36个伪装成Strapi CMS插件的恶意包,在13小时内迭代了8种不同载荷,从Redis RCE到Docker容器逃逸,再到硬编码凭证直接连接PostgreSQL数据库(CREDENTIALS: userstrapi/1QKtYPp18UsyU2ZwInVM),最终部署了针对加密货币支付平台Guardarian的持久化后门(C2: 144.31.107.231)。防御建议:使用vet等工具扫描依赖树中的恶意包、限制Redis CONFIG SET权限、禁止postinstall脚本自动执行、严格分离不同服务的数据库账户。
一个合法的npm包mgc(Module Generate CLI)被通过账户接管方式攻陷,攻击者在2026年4月2日发布了4个恶意版本(1.2.1至1.2.4),植入名为setup.cjs的dropper,从GitHub Gist获取针对Linux和Windows的远程控制木马(RAT)载荷。该攻击与同期的Axios npm供应链攻击存在直接IOC重叠,已被归因于朝鲜APT组织UNC1069/Sapphire Sleet(又名BlueNoroff/TA444),使用WAVESHAPER.V2恶意软件家族。C2域名为admondtamang.com.np,攻击者还横向入侵了同一开发者的GitHub账号托管stage-2载荷。建议npm开发者启用双因素认证、监控账户异常活动,并检查系统是否存在Linux下/tmp/ld.py进程或Windows注册表HKCU\Software\Microsoft\Windows\CurrentVersion\Run\MicrosoftUpdate持久化项。
恶意npm包express-session-js@1.19.0通过拼写混淆知名中间件express-session(周下载量6000万+)实施供应链攻击,在require()时从jsonkeeper.com拉取93KB混淆载荷并利用Function.constructor动态执行,解码后为连接216.126.237.71的完整RAT木马,可窃取浏览器凭证、加密货币钱包扩展数据、SSH/GPG密钥及系统文件。该包隶属朝鲜Lazarus组织发起的"Contagious Interview"活动(已发布338+恶意包),使用OtterCookie工具包和RouterHosting/Cloudzy托管的C2基础设施。防御建议:立即卸载该包并全面轮换所有暴露凭据。
2026年3月31日,npm上出现了两个恶意的axios版本(1.14.1和0.30.4),攻击者通过入侵维护者账户jasonsaayman手动发布了这两个版本,绕过了CI/CD和SLSA provenance验证。唯一的改动是在package.json中注入了依赖包plain-crypto-js,该包包含混淆的postinstall脚本,会从C2服务器sfrclak.com:8000下载针对macOS、Windows和Linux的远控木马(Linux版为/tmp/ld.py)。建议将axios锁定在1.14.0或0.30.3版本,并审计系统中的6202033临时文件和持久化痕迹。
2026年3月27日,PyPI上发布了两版恶意的telnyx包(4.87.1和4.87.2),在telnyx/client.py中注入了74行恶意代码。该包每月下载量超过100万次,攻击者通过窃取的PyPI API令牌绕过GitHub CI/CD直接上传了恶意版本。恶意代码在import telnyx时自动执行:在Windows上通过WAV隐写术下载第二阶段payload并写入启动文件夹msbuild.exe;在Linux/macOS上则收集凭证,用AES-256-CBC+RSA-4096加密后通过HTTP POST外传。攻击手法与此前litellm事件完全相同,归属为TeamPCP组织,建议用户立即回退至4.87.0版本并轮换所有凭证。
StepSecurity威胁情报团队发现了仍在活跃的ForceMemo攻击活动:攻击者通过恶意VS Code/Cursor扩展传播GlassWorm木马,窃取开发者GitHub凭据后强制推送混淆代码到数百个Python仓库(如amirasaran/django-restful-admin、BierOne等账户的仓库),恶意代码通过Solana区块链C2地址(BjVeAjPrSKFiingBn4vZvghsGj9KCE8AJVtbc9S8o8SC)读取指令,下载Node.js v22.9.0执行AES加密的JS payload,目标是窃取浏览器加密货币钱包。防范措施包括使用Harden-Runner监控CI/CD网络出口,检查git历史中提交者日期与作者日期不一致的force-push,以及避免从GitHub直接安装来源不明的包。
Xygeni官方GitHub Action xygeni-action于2026年3月3日被攻陷,攻击者利用被盗的维护者凭证将mutable的v5标签重新指向包含完整C2反向shell的恶意提交(4bf1d4e),所有引用@v5的工作流在约一周内均受影响,后端向91.214.78.178发送CI runner的主机名、用户名等信息并可执行任意命令。建议立即改用v6.4.0或完整commit SHA引用,StepSecurity Harden-Runner可在运行时检测并阻断该C2回调。
事件概述: 攻击者通过npm账户接管,在react-native-international-phone-number和react-native-country-select两个React Native热门包中注入恶意代码,经历三波攻击演变——从直接的preinstall钩子演变为通过@agnoliaarisian7180/string-argv和@usebioerhold8733/s-format构建的三层依赖链,最终部署与ForceMemo活动相同的Solana区块链C2恶意软件(钱包地址6YGcuyFRJKZtcaYCCFba9fScNUvPkGXodXE1mJiSzqDJ),可在受感染开发机上执行内存马并通过45.32.150.251服务器获取AES加密载荷。 影响范围: npm生态的React Native移动开发者(约13万月下载量),@latest目前均指向被篡改版本。 防御要点: 维护者虽快速响应废弃恶意版本,攻击者仍持续接管发布新版本,说明账户安全(npm强制2FA)和依赖冷却期检查的必要性;建议锁定安全版本(react-native-international-phone-number ≤ 0.11.7,react-native-country-select ≤ 0.4.0),并检查nodemodules中是否存在上述两个攻击用scope包。
Checkmarx/kics-github-action仓库所有版本标签(v2.1.7、v1.7.0等)被注入恶意infostealer,setup.sh脚本会窃取AWS/Azure/GCP凭据、SSH密钥及Kubernetes令牌,并通过内存dump提取CI/CD runner中的秘密数据,最终将加密数据外传至攻击者控制的checkmarx[.zone]域名。若已使用该Action,请立即停用标签版本并轮换所有CI/CD密钥。恢复使用时需固定至完整提交SHA而非版本标签。