慢雾 SlowMist 发布安全预警,监测到一起针对 npm 生态的协同供应链攻击。攻击者通过虚假交易机器人仓库和 DeFi 主题的 npm 包,投放 JavaScript 信息窃取器,目标直指 npm 用户、DeFi 开发者及交易机器人用户。此次攻击涉及 30 个恶意 npm 包,其中 stake-math@3.5.4 作为锁定依赖项出现在 forex-mt5-trading-bot 仓库中,该仓库呈现约 2300 个高度同质化的批量生成分叉,信号异常明确。
正文解读
攻击者可窃取的敏感数据类型极为广泛,包括加密钱包库、浏览器 Cookie 与已保存密码、浏览历史、开发者凭据、Shell 历史记录、密码管理器库、私钥、助记词,以及源代码中暴露的 API 令牌。这意味着一旦开发者在受影响环境中执行 npm install,其数字资产和开发凭据都可能面临泄露风险。
慢雾建议开发者立即移除受影响的 npm 包,并审计 package.json、package-lock.json 及 CI 日志中是否包含这 30 个恶意包中的任何一个。同时,应将曾执行 npm install 的系统视为可能已被入侵,立即轮换所有暴露的钱包、私钥、npm 令牌、云凭据、SSH 密钥及 API 令牌,并从干净镜像重建受影响环境。
此次攻击再次暴露了开源供应链安全的脆弱性,尤其是在 DeFi 和交易机器人等对安全要求极高的领域。开发者应谨慎审查第三方依赖,避免直接信任热门但不经审查的开源仓库和 npm 包。
原创文章,作者:admin,如若转载,请注明出处:https://www.23btc.com/196355/



