据介绍,当开发者安装恶意依赖包后,程序会自动在本地主机、CI/CD流水线环境执行恶意代码,窃取GitHubToken、npmToken、云服务密钥、SSH私钥、Kubernetes凭据、数据库连接字符串等敏感信息。此次投毒攻击具备极强蠕虫式自我复制与横向传播能力,攻击者可利用窃取的npm发布权限篡改和二次发布开发者名下的其他软件包,造成供应链风险持续扩散、危害持续升级。主要受影响项目包括echarts-for-react、@antv系列核心库(@antv/g2、@antv/g6、@antv/x6等)、TanStack系列42个包、MistralAI相关PyPI包以及timeago.js等社区包。受影响对象主要包括前端开发者、人工智能或机器学习开发者、开源项目维护者及企业研发人员等。由于恶意软件具备蠕虫式传播能力,可自动重新发布受害者维护的其他包,导致共享开发环境的其他用户及依赖同一维护者发布的其他软件包的用户也可能面临间接感染风险。亚汇网附国家网络安全通报中心给出的处置建议如下:一是隔离风险设备。若本地设备近期安装过相关受影响的npm依赖,建议暂停项目运行,并断开可疑设备网络连接,防止恶意代码继续外联。二是排查依赖文件。检查package.json、package-lock.json、pnpm-lock.yaml、yarn.lock及node_modules目录,核实是否存在异常preinstall、postinstall等自动执行脚本。三是清理残留痕迹。排查ClaudeCodehooks、VSCode任务配置等位置,检查是否存在router_runtime.js、setup.mjs等可疑文件,避免恶意代码在卸载依赖后继续残留。四是更换敏感凭证。及时更新GitHubToken、npmToken、云服务密钥、SSH私钥、数据库密码等各类密钥与令牌,对关联账号执行“退出全部设备”操作。五是提升安全意识。安装npm第三方依赖前,应核验项目官方来源、近期发布记录和脚本内容,不盲目安装热门包,优先选用安全稳定的官方版本。相关阅读:《广告声明:文内含有的对外跳转链接(包括不限于超链接、二维码、口令等形式),用于传递更多信息,节省甄选时间,结果仅供参考,亚汇网所有文章均包含本声明。
风险提示
外汇交易涉及高风险,可能不适合所有投资者。杠杆交易可能导致快速亏损,请确保您完全理解相关风险。过往表现不代表未来结果。
本分析仅供参考,不构成投资建议。投资者应根据自身情况做出独立判断,并承担相应风险。