今年不到半年时间,npm 已经连续爆出多起重量级供应链攻击。
前段时间 axios 被投毒, 随后 TanStack 大面积污染, 而就在昨天,又连续爆出两起重量级供应链攻击:
-
AntV 生态 npm 包被植入恶意代码- VS Code 插件
Nx Console被投毒## AntV 生态被大规模投毒
安全公司 Socket 披露:
大量 @antv 相关 npm 包被植入恶意代码,涉及数百个包、数百个恶意版本。
攻击方式非常直接,开发者执行:
npm install
恶意代码就会自动运行。
主要会偷:
-
GitHub Token-npm Token-AWS/GCP/Azure凭证-SSH Key-Kubernetes配置-Docker凭证-.env-CI/CD Secrets最危险的是:
它还会尝试利用窃取到的 npm / GitHub 权限继续传播恶意包。
也就是说:
开发者中招
↓
Token 泄漏
↓
更多 npm 包被污染
↓
进一步扩散
AntV 如何自查?
1、检查 lockfile
重点查看:
-
package-lock.json-pnpm-lock.yaml-yarn.lock是否存在最近升级的 AntV 相关异常版本。
2、删除依赖重新安装
建议直接:
rm -rf node_modules
rm package-lock.json
npm install
3、检查 IOC
搜索是否存在:
t.m-kosche.com
相关访问记录。
4、最重要:立即轮换 Secrets
如果怀疑安装过可疑版本:
请立刻更换:
-
GitHub Token-npm Token- 云平台 Key-SSH Key-CI/CD Secrets因为这些信息很可能已经被上传。
Nx Console VS Code 插件也被投毒
更离谱的是:昨天不仅 npm 包出事,连 VS Code 插件 也沦陷了。
被投毒的是:
nrwl.angular-console
也就是著名的:
Nx Console
安装量超过 220 万。
影响范围包括:
-
VS Code-Cursor-Windsurf-VSCodium这次最危险的地方在于:
不需要
npm install。
开发者只要打开项目,
插件就可能自动执行恶意代码。
恶意版本
目前确认存在问题的版本:
18.95.0
虽然只在线了十几分钟,但很多编辑器默认开启:
自动更新扩展
所以传播速度依然非常快。
恶意代码做了什么?
核心目标依然是:
-
GitHub Token-SSH Key-npm Token-Docker凭证- 云平台权限-CI/CD Secrets本质上:
攻击目标就是开发者电脑。
而且 payload 甚至来自官方 GitHub 仓库路径,
很多安全工具默认会信任官方源,
导致检测难度进一步增加。
Nx Console 如何自查?
执行:
code --list-extensions --show-versions | grep angular-console
检查是否安装过:
18.95.0
如果安装过:
1、立即删除插件
重新安装官方安全版本。
2、轮换所有凭证
包括:
-
GitHub PAT-npm Token-SSH Key-AWS/GCP/Azure Key-OpenAI API Key- 数据库密码##### 3、检查 GitHub 是否异常
重点排查:
- 新增
PAT- 未知Workflow- 异常npm publish-Deploy Key- 未知 public repo## 写在最后
以前大家觉得:
npm install
只是装依赖。
现在实际上等同于:“执行陌生代码”。
而 VS Code 插件,也早就不是简单 UI 插件了。
它们拥有:
-
文件系统权限-Shell 权限-Git 权限-网络权限-环境变量权限今年这一连串事件,其实已经说明:开发工具链,正在成为新的主战场。
以后:
-
npm包-VS Code插件-AI Coding插件都可能成为供应链攻击入口。
开发者真的要开始重视:本地开发环境安全了。
-
AntV 投毒相关链接:
https://socket.dev/blog/antv-packages-compromised -
Nx Console VS Code 相关链接:
https://www.stepsecurity.io/blog/nx-console-vs-code-extension-compromised
评论
发表评论