详细内容或原文请订阅后点击阅览
新的供应链攻击命中了NPM注册表,损害40多个软件包
研究人员发现了针对NPM注册表的新的供应链攻击,该攻击影响了40多个属于多个维护者的包裹。 Socket的安全研究人员发现了 @Ctrl/TinyColor的恶意更新,该软件包每周下载220万个。在调查此案时,他们发现它与损害较大的供应链攻击有关[…]
来源:Security Affairs _恶意软件新的供应链攻击命中了NPM注册表,损害40多个软件包
Pierluigi Paganini 2025年9月16日研究人员发现了针对NPM注册表的新的供应链攻击,该攻击影响了40多个属于多个维护者的包裹。
插座的安全研究人员发现了对 @ctrl/tinycolor的恶意更新,该软件包每周下载220万个。在调查此案时,他们发现它与更大的供应链攻击有关,该供应损害了多个维护人员的40多个包裹。流氓代码添加了一个用包装篡改的函数。JSON,注入本地脚本并重新发布了变化的Tarballs,自动将下游项目的特洛伊木马化。
@ctrl/tinyColor研究人员丹尼尔·唐斯托斯·佩雷拉(Daniel Dos Santos Pereira)首先发现了可疑行为,插座的检测标志着数十种相关威胁。由于其受欢迎程度,TinyColor引起了人们的关注,但这只是一场正在调查的广泛运动中的一个目标。
Daniel Dos Santos Pereira插座发布了在供应链攻击中损害的软件包和版本列表。
恶意束。JS下载合法的秘密扫描仪Trufflehog,配置主机,然后扫描文件和存储库,以获取令牌和云凭证。它验证和重用开发人员/云凭据,使用任何可用PAT删除GitHub操作工作流程,然后将发现(BASE64)删除到硬编码的Webhook。该脚本获取特定于平台的Trufflehog二进制文件,在本地执行它们,并自动化秘密盗窃和存储库折衷。
合法的秘密扫描仪 Trufflehogwhoami
“它写给存储库的工作流程持续到最初的主机之外。一旦犯下,任何未来的CI运行都可以从管道内部触发卸载步骤,在该管道中,设计可通过设计可用。”总结说插座的报告。
总结了插座的报告研究人员还为这次攻击发布了妥协的指标。
@securityaffairs Facebook mastodonPierluigi Paganini