npm 供应链攻击如何排查?SlowMist 披露 30 个恶意包窃取私钥与助记词
慢雾披露 30 个恶意 npm 包通过伪装交易机器人仓库发起供应链攻击,可窃取开发者私钥、助记词、API 令牌及浏览器凭证。涉及 [email protected] 与约 2300 个批量分叉仓库,开发者需立即审计依赖、轮换密钥并重建环境。
- SlowMist
- npm供应链攻击
- 恶意软件包
- 私钥安全
- 助记词泄露
慢雾(SlowMist)披露了一起协同发起的恶意 npm 供应链攻击。攻击者利用虚假交易机器人仓库和 DeFi 主题 npm 包部署 JavaScript 信息窃取程序,目标覆盖 npm 用户、DeFi 开发者及交易机器人用户。
此次攻击涉及 30 个恶意 npm 包。其中 [email protected] 作为锁定依赖项出现在 donoaccestag/forex-mt5-trading-bot 仓库中。该仓库呈现约 2300 个高度同质的批量生成分叉,大多集中在 poly-stocks 账户下,信号特征极为明显。攻击者可窃取的敏感数据范围广泛,包括加密货币钱包库、浏览器 Cookie 和已保存密码、浏览历史、开发者凭证、Shell 历史、密码管理器库、私钥、助记词以及源代码中暴露的 API 令牌。
SlowMist 建议开发者立即移除受影响的 npm 包,审计 package.json 和 package-lock.json,并检查 CI 日志中是否存在这 30 个恶意包;将任何执行过 npm install 的系统视为可能已受感染,轮换所有暴露的钱包、私钥、npm 令牌、云凭证、SSH 密钥和 API 令牌,并从干净镜像重建受影响的环境。
风险关注点
约 2300 个批量生成的同质分叉仓库表明此次攻击具有高度组织化与规模化特征。[email protected] 以锁定依赖项形式嵌入,常规代码审查较难直接察觉。窃取范围同时覆盖浏览器数据、开发环境凭证及区块链私钥,存在横向移动与多重资产暴露风险。
后续观察指标
需关注 npm 官方对 poly-stocks 等相关账户及 30 个恶意包的处置进度;留意是否出现新的批量分叉账户或相似的 DeFi 主题诱饵包;对曾安装相关依赖的系统,持续监控 CI 日志中的异常网络外联或敏感文件读取行为。