ice 11月13日,亚马逊旗下安全研究团队披露了一起“开源注册表历史上规模最大的包泛滥事件之一”。
与传统的投毒挂马、窃取凭证或植入勒索软件等攻击手法不同,此次攻击者将目标锁定在开源生态的“信任机制”与“自动化能力”上,通过向npm(Node.js包管理器)注册表注入超15万个恶意软件包,利用虚拟代币(TEA)的挖矿激励机制实现牟利。
攻击手法:自我复制的“包工厂”与隐蔽的代币收割
亚马逊安全研究人员通过Amazon Inspector的全新检测规则与AI辅助分析,在10月下旬首次发现可疑的npm软件包,并在11月7日前标记出数千个异常包。截至11月12日,团队已确认这些恶意包源自“多个”开发者账号,总量超过15万个——这一数字远超以往同类事件,成为npm注册表历史上罕见的“包泛滥”案例。
核心攻击逻辑可拆解为三步:
注入恶意包: 攻击者在npm注册表中批量上传表面看似正常的软件包,但其代码中嵌入了“自我复制”机制。
这些包并非直接执行破坏性操作(如删除文件或窃取数据),而是利用npm生态的开发依赖关系,通过脚本自动触发新包的生成与发布流程。
自动化增殖: 恶意包内置的脚本会模拟合法开发者的行为,持续生成新的、名称相似的软件包并提交至注册表。由于npm允许开发者自由发布包,且部分包可能因功能描述模糊(如工具类、辅助类库)而被其他项目间接引用,这些“子包”得以混入开源生态的依赖链条。
代币收割: 关键的牟利环节隐藏在恶意包的配置文件中——代码内嵌了指向攻击者控制的加密货币钱包地址的tea.yaml文件。当用户(开发者或企业)在项目中安装这些恶意包时,其设备或构建环境会被动参与tea.xyz协议的代币挖矿活动。
tea.xyz是一个去中心化协议,本意是通过TEA代币奖励开源开发者的贡献(如代码提交、文档维护等),代币可用于生态内的激励、质押与治理;但攻击者通过操纵恶意包的运行,将普通用户的计算资源转化为自身的代币收益,而用户对此完全不知情。
危害升级:从资源消耗到信任崩塌的连锁反应
亚马逊安全团队警告,此类攻击的影响远超单一的代币盗取:
注册表资源浪费: 海量恶意包的上传与存储占用了npm注册表的计算、存储与审核资源,影响正常开发者的包发布效率;
开源信任体系受损: 开发者依赖npm获取可靠的开源组件,而恶意包的泛滥可能导致企业或个人在无意识中引入风险依赖,最终影响软件产品的安全性与稳定性;
金融驱动攻击的示范效应: 攻击者通过“代币激励+自动化增殖”的模式验证了金融动机驱动的攻击可行性,可能引发更多模仿者利用其他区块链协议(如以太坊、Solana等)或开源平台(如PyPI、RubyGems)发起类似攻击,形成“包海战术”的新型威胁范式。
这起“史上最大规模的包泛滥事件”不仅是技术攻防的升级,更是对开源生态价值观的挑战——当虚拟代币的金融利益与开源协作的信任基础碰撞时,如何平衡创新激励与安全边界?
免责声明:本文部分文字、图片、音视频来源于网络、AI,不代表本站观点,版权归版权所有人所有。本文无意侵犯媒体或个人知识产权,如有异议请与我们联系。
