资金费率
资金费率热力图
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
账号安全
资讯收藏
自选币种
新型软件供应链攻击威胁开发者安全
近日出现的新型软件供应链攻击已将开发者置于风险之中。攻击者在软件包安装流程中植入隐蔽的Linux负载,目前已有超过700个GitHub项目被确认与攻击者基础设施存在关联,八个Packagist软件包确遭感染。
最典型的案例来自携带恶意安装后钩子的Packagist软件包。受影响项目虽以PHP项目为主,但攻击者将危险指令藏匿于package.json而非composer.json中,导致常规PHP依赖审查容易遗漏。
该安装钩子会从GitHub发布页下载Linux二进制文件,将其保存至/tmp/.sshd路径并设为可执行状态,随后在后台运行。文件名伪装成常规系统组件,同时命令跳过TLS证书验证并屏蔽错误输出。这种组合特征表明,该负载专为依赖安装过程中静默执行而设计,与常规软件包行为模式迥异。
已确认受影响的Packagist软件包包括devdojo/wave、devdojo/genesis、katanaui/katana等八个项目。其中DevDojo Wave模板拥有约6400个GitHub星标,DevDojo Genesis的Packagist安装量约达9100次,这类流行模板的实际风险最为突出。
GitHub搜索结果显示,数百个公开项目与同一攻击者账户及负载存在关联。需注意的是,项目分支、缓存文件和重复产物可能导致统计数量虚高,不能将所有结果视为独立入侵事件。已确认的Packagist感染案例仍是最有力证据,而更广泛的GitHub活动踪迹表明,攻击范围可能远超最初八个软件包。
CI/CD管道同样面临风险
相同负载还出现在标记为“依赖缓存同步”的虚假GitHub Actions工作流中,使得自动化构建环境与本地开发设备均面临威胁。CI/CD环境暴露往往更具危险性,因为构建服务器通常存有部署令牌、云凭证、签名密钥、软件包注册令牌及生产环境密钥。
这使得本次攻击的影响远超普通恶意软件清理范畴。加密货币团队、交易所、去中心化金融协议、钱包项目及基础设施提供商常依赖开源软件包与自动化构建流程。在开发团队察觉软件包遭篡改前,依赖安装阶段执行的恶意钩子就可能泄露钱包工具、API密钥、部署密钥、npm或GitHub令牌以及云凭证。
近期出现的密码管理器命令行工具供应链攻击同样危及加密货币钱包密钥安全。其共性并非受影响工具的品牌,而是攻击路径:入侵开发者信任的软件,在正常安装或构建步骤中触发执行,进而从邻近生产环境的基础设施中窃取机密信息。
软件包层级风险已直接波及加密货币生态。近期某区块链库因严重的开源依赖问题被迫紧急修补,这昭示着开发工具与软件包安全问题如何快速演变为协议级风险。
安全清理应从密钥着手
主要入侵指标包括GitHub账户parikhpreyash4、代码库systemd-network-helper-aa5c751f、隐蔽存储路径/tmp/.sshd,以及curl -skL、chmod +x /tmp/.sshd等命令片段。开发团队应在本地设备、CI运行器及构建日志中搜索这些特征,特别是当安装了dev-main、dev-master或3.x-dev等受影响开发分支时。
尽管Packagist已移除恶意软件包,但若上游GitHub仓库仍受感染或构建系统自动拉取新代码,开发分支仍可能带来风险。受影响团队应锁定安全版本、清除依赖缓存、审查GitHub Actions工作流、检查package.json脚本、轮换暴露的凭证,并基于纯净镜像重建受感染的运行器。
对于任何执行过恶意钩子的环境,密钥轮换是最紧迫的措施,包括GitHub令牌、软件包注册密钥、SSH密钥、云凭证、部署密钥、交易所API密钥及钱包相关自动化凭证。若负载已运行并将密钥复制至他处,仅移除软件包并不能确保团队安全。
尽管目前尚未有公开证据表明本次攻击直接导致加密货币盗窃,但对于开发钱包软件、交易基础设施、去中心化金融应用或交易所集成方案的团队而言,风险路径已清晰显现。受信任模板中的隐蔽安装脚本可在生产监控发现异常前侵入开发系统。最稳妥的应对措施是将受影响的安装过程与CI任务视作已暴露状态,直至完成对日志、运行器、凭证及依赖路径的全面审查。
