近期,针对开源软件公共仓库的供应链攻击愈发激烈。安全公司Socket披露,全球知名人才中介Toptal的npm页面上有十个JavaScript软件包被植入恶意代码,约5000名用户在事发前已下载了这些包。目前相关软件包已被下架,但这是该平台一周内第三起类似攻击。
攻击者利用对Toptal GitHub组织的入侵权限,将恶意包上传到npm。研究人员推测,攻击可能通过GitHub Actions或储存的npm令牌实现,但尚未完全掌握攻击过程的细节。Toptal方面尚未就其账户被攻破的原因做出说明。
受影响软件包带有两阶段恶意负载。第一步窃取受害者的GitHub身份认证令牌并上传到指定服务器,进而为攻击者的持续渗透打开通道。第二步则试图删除受害者设备的全部文件,无论是Unix还是Windows系统都会受到威胁。此外,部分恶意包还实施键盘记录、屏幕截图、指纹采集与摄像头监控等隐秘监视,并窃取敏感信息。
除npm外,PyPI同样成为目标。根据Socket公开的信息,一周内有4个恶意包(3个npm、1个PyPI)下载量合计已超过56000次。安全专家呼吁开发者提高警惕,加强账户安全,避免通过受信任平台传播恶意代码。