HackerNews 编译,转载请注明出处:
一、变种发现与溯源
Aikido 恶意软件研究员查理・埃里克森于发现 30 分钟后发布报告称,该变种虽与前两版差异明显,但可确定攻击者掌握原始蠕虫源代码,且对代码重新混淆处理,排除模仿攻击可能。沙虫攻击始于 8 月针对 nx 包的 S1ngularity 行动,首波攻击 9 月 16 日爆发,11 月 24 日出现 2.0 版本 “再临” 攻击。
沙虫区别于传统恶意包,直接嵌入开发者工作流,目标窃取开发环境敏感凭证:
- 安装时执行,扫描开发机与 CI/CD 环境密钥;
- 将被盗凭证上传至公开 GitHub 仓库;
- 利用凭证进一步入侵更多 npm 包。
首波攻击曾影响超 500 个常用 npm 包与数万个 GitHub 仓库,促使 GitHub 收紧包发布认证机制。第二波则利用漏洞披露至强制可信发布迁移的窗口期发动。
- 结构与隐匿升级
- 重构文件结构,重命名安装器与载荷组件;
- 改用新 GitHub 仓库描述防字符串检测;
- 新增 5 类泄露文件名,聚焦环境变量、云凭证等;
- 移除 “失效开关”,优化错误处理,适配 Windows 系统,调整数据收集顺序。
- 致命漏洞
代码存在文件名错误,本应读取c0nt3nts.json,却错误保存为c9nt3nts.json,导致功能异常。
漏洞管理公司 Mondoo 首席安全官帕特里克・芒奇指出,沙虫 3.0 是 “无差别攻击武器”,其快速迭代凸显供应链仍是攻击重灾区,类似高影响攻击将增多。美国网络安全与基础设施安全局等机构已发布预警。
防护建议:
- 排查受影响包,轮换环境密钥;
- 监控 GitHub 新描述仓库,限制 npm 安装生命周期脚本;
- 启用发布流程多因素认证与范围令牌。
埃里克森强调,事件仍在进展中,需持续关注动态。
消息来源:cybernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
