NPM软件包遭受恶意攻击

关键要点

• 大量常用的 NPM 包受到伪装，攻击者通过引入盗取凭证的恶意软件展开持续的抄袭攻击。
• 攻击利用以太坊智能合约进行指挥与控制。
• 多个知名库如 Puppeteer 和 Bignum.js 的伪造包被用于恶意软件的传播。
• 开发环境中使用的合法软件包，因其具备高权限，成为此次攻击的主要目标。

根据 的报道，数百个广泛使用的 软件包被伪装，以盗取开发者的凭证，这是一场正在进行中的抄袭攻击活动，攻击者通过以太坊智能合约实现指挥与控制。

根据 Phylum 的分析，Puppeteer、Bignum.js 及其他 285个库的伪造包被攻击者利用，导致恶意软件的感染与机器持久访问。此外，Socket 的研究人员发现，流行的 Git Hooks 库 husky也在这一活动中遭到伪装，另外还有众多带有恶意代码的 NPM 包在 24 小时内被使用相同的攻击手法进行部署。Checkmarx研究人员的另一项分析显示，伪造包 jest-fet-mock 使用了与合法包 fetch-mock-jst 和 Jest-Fetch-Mock相同的指挥与控制基础设施。Checkmarx 研究员 Yehuda Gelb表示：“考虑到这些合法包主要在开发环境中使用，开发者通常拥有较高的系统权限，并且经常集成到 CI/CD流程中，我们认为此次攻击特别针对开发基础设施，通过攻陷测试环境来实现。”

综上所述，这场针对 NPM 包的抄袭攻击不仅涉及到常用库的伪造，还可能影响到整个开发流程的安全性，开发者需保持警惕并采取相应措施以防范潜在威胁。