IT之家 5 月 25 日消息，國家網(wǎng)絡(luò)安全通報中心今日發(fā)布預(yù)警，稱監(jiān)測發(fā)現(xiàn)，全球主流 JavaScript 軟件包管理平臺 npm 遭“沙蟲”（Shai-Hulud）供應(yīng)鏈投毒攻擊。攻擊者攻陷了 npm 官方維護者賬戶，并在短時間內(nèi)批量投放大量惡意軟件包，涉及 300 余個獨立程序包的 600 余個惡意版本，影響多個熱門開源項目。

據(jù)介紹，當開發(fā)者安裝惡意依賴包后，程序會自動在本地主機、CI / CD 流水線環(huán)境執(zhí)行惡意代碼，竊取 GitHub Token、npm Token、云服務(wù)密鑰、SSH 私鑰、Kubernetes 憑據(jù)、數(shù)據(jù)庫連接字符串等敏感信息。此次投毒攻擊具備極強蠕蟲式自我復(fù)制與橫向傳播能力，攻擊者可利用竊取的 npm 發(fā)布權(quán)限篡改和二次發(fā)布開發(fā)者名下的其他軟件包，造成供應(yīng)鏈風險持續(xù)擴散、危害持續(xù)升級。

主要受影響項目包括 echarts-for-react、@antv 系列核心庫（@antv/g2、@antv/g6、@antv/x6 等）、TanStack 系列 42 個包、Mistral AI 相關(guān) PyPI 包以及 timeago.js 等社區(qū)包。受影響對象主要包括前端開發(fā)者、人工智能或機器學習開發(fā)者、開源項目維護者及企業(yè)研發(fā)人員等。

由于惡意軟件具備蠕蟲式傳播能力，可自動重新發(fā)布受害者維護的其他包，導(dǎo)致共享開發(fā)環(huán)境的其他用戶及依賴同一維護者發(fā)布的其他軟件包的用戶也可能面臨間接感染風險。IT之家附國家網(wǎng)絡(luò)安全通報中心給出的處置建議如下：

• 一是隔離風險設(shè)備。若本地設(shè)備近期安裝過相關(guān)受影響的 npm 依賴，建議暫停項目運行，并斷開可疑設(shè)備網(wǎng)絡(luò)連接，防止惡意代碼繼續(xù)外聯(lián)。

• 二是排查依賴文件。檢查 package.json、package-lock.json、pnpm-lock.yaml、yarn.lock 及 node_modules 目錄，核實是否存在異常 preinstall、postinstall 等自動執(zhí)行腳本。

• 三是清理殘留痕跡。排查 Claude Code hooks、VS Code 任務(wù)配置等位置，檢查是否存在 router_runtime.js、setup.mjs 等可疑文件，避免惡意代碼在卸載依賴后繼續(xù)殘留。

• 四是更換敏感憑證。及時更新 GitHub Token、npm Token、云服務(wù)密鑰、SSH 私鑰、數(shù)據(jù)庫密碼等各類密鑰與令牌，對關(guān)聯(lián)賬號執(zhí)行“退出全部設(shè)備”操作。

• 五是提升安全意識。安裝 npm 第三方依賴前，應(yīng)核驗項目官方來源、近期發(fā)布記錄和腳本內(nèi)容，不盲目安裝熱門包，優(yōu)先選用安全穩(wěn)定的官方版本。

相關(guān)閱讀：

• 《npm 生態(tài)遭大范圍投毒：TanStack、Mistral AI、UiPath 等受波及，可竊取云密鑰與 GitHub 令牌》

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。