攻擊者透過供應鏈攻擊,竊取並篡改 npm 與 PyPI 上的熱門開源套件(如 TanStack 和 Mistral),植入惡意軟體以竊取開發者帳號密碼。此事件影響數百個套件,威脅全球開發者社群的資訊安全。
🔍 防詐解析
攻擊者利用供應鏈攻擊手法,潛入知名的開源套件庫,將惡意程式碼植入熱門的 TanStack 與 Mistral 套件中。當開發者下載並執行這些被篡改的套件時,惡意軟體便會自動運行,竊取開發者的帳號密碼與敏感資訊。這種手法隱蔽性極高,因為受害者通常信任官方套件庫的來源,難以察覺異常。一般開發者容易在不知不覺中招,因為他們通常不會仔細檢查每個套件的程式碼,且攻擊者刻意選擇知名度高的套件以降低戒心。此外,惡意程式碼往往隱藏在正常的更新中,使得傳統防毒軟體難以即時攔截。建議開發者應定期更新套件,並啟用套件來源驗證機制,避免直接執行未經驗證的第三方程式碼。同時,應加強對開發環境的監控,並對異常的網路連線保持警覺,必要時可透過官方管道確認套件狀態。
🚩 紅旗特徵
- •開源套件被惡意篡改
- •開發者帳號密碼遭竊
- •攻擊來源不明且具組織性
關鍵字
供應鏈攻擊npm 套件惡意軟體開發者憑證竊取
查看原始報導 ↗(BleepingComputer)