详细内容或原文请订阅后点击阅览
隐形 npm 恶意软件会进行消失行为 – 然后窃取您的代币
PhantomRaven 将一百多个凭证窃取包放入 npm 一种名为 PhantomRaven 的新供应链攻击已在 npm 注册表中注入大量恶意包,这些恶意包会在安装过程中窃取凭证、令牌和机密。这些软件包在首次下载时看起来很安全,这使得安全应用程序特别难以识别它们。
来源:The Register _恶意软件一种名为 PhantomRaven 的新供应链攻击已在 npm 注册表中充斥着恶意软件包,这些软件包会在安装过程中窃取凭据、令牌和机密。这些软件包在首次下载时看起来很安全,这使得安全应用程序特别难以识别它们。
据 Koi 研究人员称,该活动至少自 2025 年 8 月起就开始活跃,涉及多个账户发布的 126 个恶意软件包。在本周该活动曝光之前,至少记录了 86,000 次下载,并且在披露时,超过 80 个受感染的软件包仍然存在。
Koi 的研究人员PhantomRaven 的与众不同之处在于它使用了研究人员称为远程动态依赖 (RDD) 的新技术。与依赖可见依赖项或安装后脚本的典型 npm 恶意软件不同,PhantomRaven 软件包最初显示为空 – 没有依赖项,没有可疑代码。但是,当用户安装它们时,该软件包会从攻击者控制的远程服务器获取额外的代码。然后,恶意负载在本地执行,窃取数据并将其渗透到攻击者的基础设施中。
这使得使用传统方法很难检测到该攻击。依赖于包元数据或依赖关系图的静态分析的安全工具不会发现任何异常,因为有害代码并不存在于注册表本身中。相反,它是在安装过程中动态检索的,不会在源文件中留下明显的痕迹。
被盗信息包括 npm 和 GitHub 令牌、云凭证、SSH 密钥以及开发和 CI/CD 管道中常用的其他敏感环境变量。 Koi 表示,泄露的数据被发送到威胁行为者控制的域,该域为每个受害者使用随机生成的子域,以使跟踪变得更加困难。
“这些不是理论上的漏洞 - 它们是目前影响成千上万开发人员的主动利用技术。”