标签
2026年3月27日,PyPI上发布了两版恶意的telnyx包(4.87.1和4.87.2),在telnyx/client.py中注入了74行恶意代码。该包每月下载量超过100万次,攻击者通过窃取的PyPI API令牌绕过GitHub CI/CD直接上传了恶意版本。恶意代码在import telnyx时自动执行:在Windows上通过WAV隐写术下载第二阶段payload并写入启动文件夹msbuild.exe;在Linux/macOS上则收集凭证,用AES-256-CBC+RSA-4096加密后通过HTTP POST外传。攻击手法与此前litellm事件完全相同,归属为TeamPCP组织,建议用户立即回退至4.87.0版本并轮换所有凭证。
2026年3月17日,PyPI官方包bittensor-wallet第4.0.2版被确认植入后门,上线约48小时后被下架。该恶意版本通过src/keyfile.rs中的collectformatmetrics()挂钩,在用户执行钱包解密操作时窃取coldkey/hotkey私钥,采用HTTPS域名、DGA域名和DNS隧道三种方式将加密载荷发送至C2服务器finney.opentensor-metrics.com等地址。建议受影响用户立即回退至4.0.1版并轮换全部钱包密钥。
攻击者继Trivy v0.69.4被植入凭证窃取程序后,利用窃取的npm令牌部署了名为CanisterWorm的自我传播蠕虫,感染了@opengov等16个以上的npm scope。蠕虫通过postinstall钩子安装Python后门到~/.local/share/pgmon/service.py,建立systemd持久化服务,并使用Internet Computer区块链域名作为C2服务器以规避封堵,同时窃取~/.npmrc中的npm令牌自动传播到所有可达的包。防御要点:检查~/.local/share/pgmon/service.py和~/.config/systemd/user/pgmon.service等指标、立即轮换所有暴露的npm令牌及CI/CD密钥、并使用实时监控工具检测异常的postinstall脚本和base64编码载荷。
事件概述: 攻击者通过npm账户接管,在react-native-international-phone-number和react-native-country-select两个React Native热门包中注入恶意代码,经历三波攻击演变——从直接的preinstall钩子演变为通过@agnoliaarisian7180/string-argv和@usebioerhold8733/s-format构建的三层依赖链,最终部署与ForceMemo活动相同的Solana区块链C2恶意软件(钱包地址6YGcuyFRJKZtcaYCCFba9fScNUvPkGXodXE1mJiSzqDJ),可在受感染开发机上执行内存马并通过45.32.150.251服务器获取AES加密载荷。 影响范围: npm生态的React Native移动开发者(约13万月下载量),@latest目前均指向被篡改版本。 防御要点: 维护者虽快速响应废弃恶意版本,攻击者仍持续接管发布新版本,说明账户安全(npm强制2FA)和依赖冷却期检查的必要性;建议锁定安全版本(react-native-international-phone-number ≤ 0.11.7,react-native-country-select ≤ 0.4.0),并检查nodemodules中是否存在上述两个攻击用scope包。
StepSecurity威胁情报团队发现了仍在活跃的ForceMemo攻击活动:攻击者通过恶意VS Code/Cursor扩展传播GlassWorm木马,窃取开发者GitHub凭据后强制推送混淆代码到数百个Python仓库(如amirasaran/django-restful-admin、BierOne等账户的仓库),恶意代码通过Solana区块链C2地址(BjVeAjPrSKFiingBn4vZvghsGj9KCE8AJVtbc9S8o8SC)读取指令,下载Node.js v22.9.0执行AES加密的JS payload,目标是窃取浏览器加密货币钱包。防范措施包括使用Harden-Runner监控CI/CD网络出口,检查git历史中提交者日期与作者日期不一致的force-push,以及避免从GitHub直接安装来源不明的包。
Checkmarx/kics-github-action仓库所有版本标签(v2.1.7、v1.7.0等)被注入恶意infostealer,setup.sh脚本会窃取AWS/Azure/GCP凭据、SSH密钥及Kubernetes令牌,并通过内存dump提取CI/CD runner中的秘密数据,最终将加密数据外传至攻击者控制的checkmarx[.zone]域名。若已使用该Action,请立即停用标签版本并轮换所有CI/CD密钥。恢复使用时需固定至完整提交SHA而非版本标签。
Xygeni官方GitHub Action xygeni-action于2026年3月3日被攻陷,攻击者利用被盗的维护者凭证将mutable的v5标签重新指向包含完整C2反向shell的恶意提交(4bf1d4e),所有引用@v5的工作流在约一周内均受影响,后端向91.214.78.178发送CI runner的主机名、用户名等信息并可执行任意命令。建议立即改用v6.4.0或完整commit SHA引用,StepSecurity Harden-Runner可在运行时检测并阻断该C2回调。
安全研究员"sl4x0"自2025年6月起在npm/PyPI平台发起依赖混淆攻击,发布92+个恶意包伪装成Adobe、Ford、Coca-Cola、Sony等20+家企业的内部依赖包,通过DNS查询向oob.sl4x0.xyz窃取开发者用户名、主机名和工作目录。包名符合目标企业内部命名规范,版本号异常偏高(9.9.0、99.9.9)以触发依赖解析优先级欺骗。截至2026年3月,仍有22个包在npm平台活跃。防御建议:严格配置.npmrc优先使用内部私有仓库、监控DNS日志中的oob.sl4x0.xyz查询、使用vet等工具扫描构建流水线。
攻击者利用被盗的PyPI凭证,在litellm包1.82.7和1.82.8版本中植入恶意代码,通过1.82.8的.pth文件在任意Python启动时自动执行,窃取SSH密钥、各云厂商凭证(AWS/GCP/Azure)、Kubernetes密钥及加密货币钱包文件,并在K8s集群每节点创建特权Pod安装systemd持久化后门。受影响平台为PyPI的Python生态,建议已安装这两个版本的开发者立即卸载并轮换所有凭证,审计集群中kube-system命名空间下名为node-setup-的Pod。
2026年2月27日至3月22日,威胁组织TeamPCP分阶段攻击Aqua Security的Trivy漏洞扫描器,劫持了aqua-bot服务账户推送恶意v0.69.4版本,同时向75个trivy-action/setup-trivy标签植入后门,并利用CIrunner窃取的npm token发布恶意包。攻击者通过伪冒可信开发者提交(如rauchg、DmitriyLewen)绕过签名验证,在GitHub Actions runner中提取所有secrets(包括GitHub token、云凭证、K8s token),在开发者机器上安装systemd持久化后门,最终在npm上部署名为CanisterWorm的自我传播蠕虫。防御关键:所有受影响的Trivy相关组件必须回滚至安全版本(v0.69.3及以前、trivy-action v0.35.0、setup-trivy v0.2.6),立即轮换所有CI工作流中暴露的凭证,并严格审计pullrequesttarget工作流配置以防Pwn Request攻击重现。
SafeDep发现恶意npm包react-refresh-update(版本2.0.5)冒充Meta维护的react-refresh(周下载量4200万次),在runtime.js中注入双层混淆的木马dropper。该包通过C2域名malicanbur[.]pro(被标记为Lazarus Group基础设施)针对Windows、Linux和macOS三平台下发PylangGhost RAT,窃取开发者凭证和加密货币钱包密钥。建议立即移除该包并轮换所有凭据,同时警惕AI编程助手自动安装来源不明的包。
2026年3月5日,攻击者quicktrinny利用kubernetes-el/kubernetes-el(Emacs的Kubernetes管理包)CI工作流中的"pwn request"漏洞——pullrequesttarget触发器配合显式检出PR头部分支的代码——窃取了具有写权限的GITHUBTOKEN,并向webhook.site外泄CI/CD密钥,随后用恶意提交替换主文件kubernetes.el为rm -rf /命令,销毁了整个仓库。该包已被MELPA下架并被Emacsmirror屏蔽。防御关键:永远不要在pullrequesttarget工作流中检出不可信代码,并应限制GITHUBTOKEN权限为最小化读权限。
安全团队可通过SafeDep/vet的now()函数实施"冷却期"策略,阻止发布不足24小时的新包版本进入CI流程,从而抵御通过npm、PyPI等注册表快速投递恶意代码的攻击。该政策以YAML文件定义,支持版本控制和GitHub Actions集成,适用于不同组织的风险偏好配置。
安全研究人员发现恶意npm包pino-sdk-v2伪装成流行的Node.js日志库pino(周下载量近2000万次),在lib/tools.js中植入混淆后的载荷。该包在require()时自动扫描项目中的.env、.env.local、.env.production等环境文件,匹配PRIVATEKEY、SECRETKEY、APIKEY等敏感字段,并通过Discord webhook将窃取的凭证发送出去,且不含任何install钩子以规避检测。如已安装该包,需立即移除并轮换所有可能泄露的密钥和凭证。
StepSecurity 宣布 Harden Runner 现已支持 Windows 和 macOS GitHub Actions 托管运行器,成为首个覆盖 Linux、Windows、macOS 三大平台 runtime 安全监控的 CI/CD EDR 解决方案。该工具此前已在 tj-actions/changed-files 供应链攻击和 Shai Hulud 攻击活动中成功检测真实威胁,现在可进一步监控跨平台网络连接和进程执行行为。公共仓库可免费使用 Community 版本,配置语法与 Linux 平台完全一致,无需修改 workflow 文件即可启用监控。