index_new5.html
../../../zaker_core/zaker_tpl_static/wap/tpl_guoji1.html
![]()
墨菲安全实验室检测到NPM仓库中多个热门组件被投毒,攻击者通过钓鱼邮件窃取开发者账号进行攻击。此次事件涉及9个周下载量过亿的组件,攻击手法简单粗暴,但影响巨大。企业应警惕开源软件供应链的潜在威胁,建立体系化的防护能力。墨菲安全实验室建议企业建立开源组件准入准出机制,引入软件成分分析(SCA)进行风险检测,并订阅商业版的开源组件投毒情报。
🔍 墨菲安全实验室检测到NPM仓库中多个热门组件被投毒,攻击者通过钓鱼邮件窃取开发者账号进行攻击,涉及9个周下载量过亿的组件,攻击手法简单粗暴,但影响巨大。
🛡️ 企业应警惕开源软件供应链的潜在威胁,建立体系化的防护能力,包括建立开源组件准入准出机制,引入软件成分分析(SCA)进行风险检测,并订阅商业版的开源组件投毒情报。
📈 开源生态安全脆弱性可随时引发大规模攻击事件,热门组件的开发者容易成为攻击目标,近年来攻击者关注其开源项目、GitHub action中的漏洞,通过钓鱼、社会工程等方式以窃取账号/token为目标实施针对性攻击。
🔐 企业安全治理角度,从员工办公终端、代码仓库、CICD到线上服务器,各个环节想要感知、响应投毒事件,依赖于系统性安全能力建设,多种安全能力联动。
🚨 墨菲安全实验室每周检测发现数百起投毒事件,背后体现出当前包括NPM在内的开源生态安全仍然脆弱,风险还将持续相当长的一段时间。
原创 墨菲安全实验室 2025-09-10 09:14 北京
很多企业远远低估了这些事件对企业的潜在威胁!
这件事情对企业的潜在威胁正在被很多企业远远低估,很多企业可能觉得是针对web3的,跟自己没关系。但是一定要看到这次事件背后,是多么低成本的大规模高威胁的攻击路径呀,今天是web3,明天就不会是其他行业和企业吗?墨菲安全实验室在2025年9月8日21:13分开始,检测到NPM仓库中,多个周下载量过亿的热门组件被投毒,攻击者通过发送钓鱼邮件,窃取了qix开发者的NPM账号进行投毒。关于该投毒事件的具体详情,可见上篇文章qix开发者账号泄漏导致NPM仓库超大规模投毒。此次NPM仓库超大规模劫持投毒事件,手法简单粗暴,影响面极大,涉及9个周下载量过亿的开源组件被投毒。根源竟然就是多个NPM生态开发者账号被钓鱼劫持,继而开始发布新版本,对web3行业开发者进行针对性的投毒攻击。如此简单粗暴的攻击方式,却能控制使用量巨大的开源组件,并带来如此大规模的攻击影响。试想,如果这次事件是针对你所在的大型企业,不管是窃取数据还是加密勒索,都将会给任何一家企业带来系统性的风险。所以,此次攻击事件案例非常值得所有的企业重新认识开源软件供应链所带来的潜在威胁,并思考如何建立体系化的防护能力。此次事件后续:DuckDB作者账号被劫持投毒
在持续的监测中我们发现,在第二天的9月9日9:13分,还发布了使用相同手法的投毒包duckdb,意味着攻击还在持续,后续可能还会有其他开发者受影响,此类钓鱼攻击手法可能成为NPM生态的长期威胁。DuckDB开发者发布公告duckdb开发者收到仿冒NPM官方钓鱼邮件被投毒的duckdb相关组件包括:组件名版本
@duckdb/duckdb-wasm1.29.2
@duckdb/node-api1.3.3
@duckdb/node-bindings1.3.3
duckdb1.3.3
根据收到钓鱼邮件的开发者反馈,攻击者可能通过爬取NPM仓库中的开发者账号、邮箱后,发送大量钓鱼邮件,邮件内容为要求开发者更新双因素认证信息。当开发者点击链接后,则进入仿冒的NPM官网(实际域名为 npmjs.help),其界面和操作与真正的 npmjs 官网一致。受害开发者使用用户名和密码登录,并完成了双因素认证后,会被静默添加一个新的API token。在操作过程中,由于所有请求被转发到了npmjs官网,用户看起来其信息、设置等均与 npmjs.com 网站完美一致,不容易怀疑。在通过钓鱼获得API token之后,攻击者则挑选时机发布投毒包。在目标代码包中,攻击者通过添加混淆后的恶意代码,隐藏真实意图。当前发现的恶意代码相同,会劫持浏览器钱包(如 MetaMask)的网络请求(fetch 和 XMLHttpRequest),拦截 ETH、BTC、SOL、TRX 等加密货币交易,替换目标钱包地址,从而窃取数字货币。但随着近期攻击行为的披露,后续投毒代码可能快速变种。混淆后的恶意代码从这次的攻击手法来看,并没有用太复杂高深的手法,轻易就能劫持数亿下载量的开源组件进行投毒,这意味着任何一个大型企业随时都可能面临大规模的攻击事件。墨菲安全实验室每周检测发现数百起投毒事件,背后体现出当前包括NPM在内的开源生态安全仍然脆弱,风险还将持续相当长的一段时间。从开源开发者的身份来看,热门组件的开发者容易成为攻击目标,近年来攻击者关注其开源项目、GitHub action中的漏洞,通过钓鱼、社会工程等方式以窃取账号/token为目标实施针对性攻击。作为分发渠道的NPM及下游的镜像站,相比于多年以前的安全水位有所提升,但大部分开源社区的松散性导致安全治理仍面临很大挑战。虽然npm audit实现了对部分已知公开风险组件的提示,但下游使用组件的开发者仍然缺少及时的风险感知能力,层出不穷的投毒随时可能影响各类开发者。关于企业防范措施
在企业安全治理角度,从员工办公终端、代码仓库、CICD到线上服务器,各个环节想要感知、响应投毒事件,依赖于系统性安全能力建设,多种安全能力联动。在开源组件引入环节,应该建立企业内部的开源组件准入准出机制,目前墨菲安全帮助众多头部企业建立了私有源安全网关的防护能力,可以第一时间阻挡投毒组件的引入,比如本次超大规模npm组件投毒事件,墨菲安全实验室在2025年9月8日21:13分左右,第一时间就检测到了此次投毒事件的发生。在代码开发和发布环节,可以引入软件成分分析(SCA)进行持续的代码投毒风险检测,并在发布流水线设置发布门禁,有效防止开源组件投毒风险发布至线上,影响线上用户。此外,可订阅商业版的开源组件投毒情报,便于第一感知类似的风险并启动应急处置,及时止损。当然,具备应急排查的能力前提是有SCA,能够前置构建企业内部开源组件资产库。不然有情报也没法排查,包括本次事件的情报在内,墨菲安全每周会为客户预警数百起,来自开源社区的投毒事件。目前国内各行业的头部企业也均选择了墨菲安全的投毒情报作为安全防护的基础能力。扫码添加小助理了解更多安全信息阅读原文
跳转微信打开
