详细内容或原文请订阅后点击阅览

另一个 npm 供应链蠕虫正在破坏开发环境

2026年4月23日 06:34 33 Comments
X Twitter Instagram Mail

另外,有效负载引用了“TeamPCP/LiteLLM 方法”,而另一种 npm 供应链攻击正在通过受感染的软件包进行蠕虫攻击,在开发人员环境中移动时窃取秘密和敏感数据,并且它与上个月归因于 TeamPCP 的开源感染有很大的重叠。

来源:The Register _恶意软件

另一种 npm 供应链攻击正在通过受感染的软件包进行蠕虫攻击,在开发人员环境中移动时窃取机密和敏感数据,并且它与上个月由 TeamPCP 造成的开源感染有很大的重叠。

应用程序安全供应商 Socket 和 StepSecurity 表示,一种自我传播的 CanisterWorm 型恶意软件菌株攻击了与代理 AI 公司 Namastex Labs 相关的多个 npm 软件包。该活动似乎针对的是专门的开发人员工作流程,而不是广泛的消费者 npm 使用,受影响的软件包包括:

  • @automagik/genie@4.260421.33 到 4.260421.39
  • pgserve@1.1.11 到 1.1.13
  • @fairwords/websocket@1.0.38 和 1.0.39
  • @fairwords/loopback-connector-es@1.4.3 和 1.4.4
  • @openwebconcept/design-tokens@1.0.3
  • @openwebconcept/theme-owc@1.0.3

    • 安全商店仍在发布和识别其他恶意版本,因此供应链攻击的全部范围仍在调查中。

    据 StepSecurity 称,受感染的 pgserve 版本最初于 4 月 21 日 22:14 UTC 发布,随后在当天晚些时候又发布了同一软件包的两个恶意版本。

    Socket 表示,这一最新的蠕虫病毒安全事件与上个月威胁者 Trivy 供应链攻击后由 TeamPCP 造成的早期 CanisterWorm 感染有一些相似之处。这些攻击被称为 CanisterWorm 攻击,因为攻击者使用 ICP 容器来传递额外的有效负载并泄露被盗数据。

    虽然 Namastex 链接的软件包中使用的容器与早期与 TeamPCP 相关的 CanisterWorm 活动中记录的 Socket 并不完全相同,但 Socket 的研究团队指出,攻击技术、谍报技术和代码沿袭存在“强烈重叠”,但没有将最新的 npm 软件包感染归因于 TeamPCP。

    具体来说,有效负载引用了“TeamPCP/LiteLLM 方法”来进行 .pth 文件注入。

    版本 广泛的 1.0 攻击者 供应商 有效负载 使用的 消费者 重叠 软件包 应用程序 专门的 攻击 CanisterWorm 谍报技术 感染 供应链 受影响的 额外的 使用 TeamPCP 开发人员 蠕虫 泄露 Socket 不完全 相关的 npm 记录的 恶意 受影响 最新的 感染的 归因于