【安全圈】Dead Man’s Switch Widespread npm 供應鏈攻擊引發大規模惡意程序傳播

關鍵詞

惡意軟件

GitLab 漏洞研究團隊近日披露，一場針對 npm 生態的大規模供應鏈攻擊正在迅速擴散。攻擊者投放的是進化版本的 “Shai Hulud” 惡意程序，而這次出現的變種更加危險，因為它被植入了“死者開關”機制——一旦攻擊者失去對自身基礎設施的控制，受感染系統就會被強制觸發數據銷毀。

整個攻擊鏈通過被污染的 npm 軟件包展開。當開發者安裝受感染的包時，會自動執行一個腳本，該腳本偽裝成下載合法的 Bun JavaScript 運行時，但實際獲取的是一個高度混淆、接近 10MB 的惡意可執行文件。該程序一旦啟動，立即開始大規模竊取憑證，覆蓋范圍包括 GitHub 令牌、npm 授權密鑰，以及 AWS、Google Cloud、Microsoft Azure 等云服務賬戶。

為了進一步擴大竊取范圍，惡意程序還會下載并調用 Trufflehog 這類合法工具，掃描受害者整個用戶目錄中可能暴露 API Key 或密碼的配置文件。

隨著感染深入，惡意程序會利用被盜 npm 憑證自動污染受害者名下所有軟件包。它會修改 package.json 文件加入惡意腳本、提升版本號，并將篡改后的內容重新發布回 npm，使感染呈指數級擴散。被竊取的令牌會傳回攻擊者控制的 GitHub 倉庫，這些倉庫被統一標記為 “Sha1 Hulud The Second Coming”，形成一個去中心化的憑證共享網絡，讓被攻陷的設備共同維持攻擊鏈條。

最具破壞性的部分在于其“終結機制”。一旦感染系統同時失去 GitHub 和 npm 的訪問能力，惡意程序會立即執行數據摧毀操作。Windows 設備會遭到用戶文件刪除及磁盤扇區覆蓋；Linux 和 macOS 系統則會被采用更高級的數據擦除方式，使恢復幾乎不可能。

這意味著如果 GitHub 清理惡意倉庫、或 npm 撤銷被盜令牌，可能會在全球范圍觸發成千上萬設備的同步數據毀滅，造成深遠破壞。

GitLab 建議開發團隊盡快啟用項目內的依賴掃描，以便在惡意包進入生產環境前自動檢測并阻斷。同時，安全團隊需密切關注異常的 npm preinstall 腳本以及依賴項中不尋常的版本號變動，以提前發現異常跡象。

安全圈

網羅圈內熱點 專注網絡安全

實時資訊一手掌握！

好看你就分享 有用就點個贊

支持「安全圈」就點個三連吧！