11月13日，亞馬遜旗下安全研究團(tuán)隊(duì)披露了一起“開源注冊表歷史上規(guī)模最大的包泛濫事件之一”。

與傳統(tǒng)的投毒掛馬、竊取憑證或植入勒索軟件等攻擊手法不同，此次攻擊者將目標(biāo)鎖定在開源生態(tài)的“信任機(jī)制”與“自動化能力”上，通過向npm（Node.js包管理器）注冊表注入超15萬個惡意軟件包，利用虛擬代幣（TEA）的挖礦激勵機(jī)制實(shí)現(xiàn)牟利。

攻擊手法：自我復(fù)制的“包工廠”與隱蔽的代幣收割?

亞馬遜安全研究人員通過Amazon Inspector的全新檢測規(guī)則與AI輔助分析，在10月下旬首次發(fā)現(xiàn)可疑的npm軟件包，并在11月7日前標(biāo)記出數(shù)千個異常包。截至11月12日，團(tuán)隊(duì)已確認(rèn)這些惡意包源自“多個”開發(fā)者賬號，總量超過15萬個——這一數(shù)字遠(yuǎn)超以往同類事件，成為npm注冊表歷史上罕見的“包泛濫”案例。

核心攻擊邏輯可拆解為三步：?

注入惡意包：? 攻擊者在npm注冊表中批量上傳表面看似正常的軟件包，但其代碼中嵌入了“自我復(fù)制”機(jī)制。

這些包并非直接執(zhí)行破壞性操作（如刪除文件或竊取數(shù)據(jù)），而是利用npm生態(tài)的開發(fā)依賴關(guān)系，通過腳本自動觸發(fā)新包的生成與發(fā)布流程。

自動化增殖：? 惡意包內(nèi)置的腳本會模擬合法開發(fā)者的行為，持續(xù)生成新的、名稱相似的軟件包并提交至注冊表。由于npm允許開發(fā)者自由發(fā)布包，且部分包可能因功能描述模糊（如工具類、輔助類庫）而被其他項(xiàng)目間接引用，這些“子包”得以混入開源生態(tài)的依賴鏈條。

代幣收割：? 關(guān)鍵的牟利環(huán)節(jié)隱藏在惡意包的配置文件中——代碼內(nèi)嵌了指向攻擊者控制的加密貨幣錢包地址的tea.yaml文件。當(dāng)用戶（開發(fā)者或企業(yè)）在項(xiàng)目中安裝這些惡意包時，其設(shè)備或構(gòu)建環(huán)境會被動參與tea.xyz協(xié)議的代幣挖礦活動。

tea.xyz是一個去中心化協(xié)議，本意是通過TEA代幣獎勵開源開發(fā)者的貢獻(xiàn)（如代碼提交、文檔維護(hù)等），代幣可用于生態(tài)內(nèi)的激勵、質(zhì)押與治理；但攻擊者通過操縱惡意包的運(yùn)行，將普通用戶的計算資源轉(zhuǎn)化為自身的代幣收益，而用戶對此完全不知情。

危害升級：從資源消耗到信任崩塌的連鎖反應(yīng)?

亞馬遜安全團(tuán)隊(duì)警告，此類攻擊的影響遠(yuǎn)超單一的代幣盜?。?/p>

注冊表資源浪費(fèi)：? 海量惡意包的上傳與存儲占用了npm注冊表的計算、存儲與審核資源，影響正常開發(fā)者的包發(fā)布效率；

開源信任體系受損：? 開發(fā)者依賴npm獲取可靠的開源組件，而惡意包的泛濫可能導(dǎo)致企業(yè)或個人在無意識中引入風(fēng)險依賴，最終影響軟件產(chǎn)品的安全性與穩(wěn)定性；

金融驅(qū)動攻擊的示范效應(yīng)：? 攻擊者通過“代幣激勵+自動化增殖”的模式驗(yàn)證了金融動機(jī)驅(qū)動的攻擊可行性，可能引發(fā)更多模仿者利用其他區(qū)塊鏈協(xié)議（如以太坊、Solana等）或開源平臺（如PyPI、RubyGems）發(fā)起類似攻擊，形成“包海戰(zhàn)術(shù)”的新型威脅范式。

這起“史上最大規(guī)模的包泛濫事件”不僅是技術(shù)攻防的升級，更是對開源生態(tài)價值觀的挑戰(zhàn)——當(dāng)虛擬代幣的金融利益與開源協(xié)作的信任基礎(chǔ)碰撞時，如何平衡創(chuàng)新激勵與安全邊界？

免責(zé)聲明：本文部分文字、圖片、音視頻來源于網(wǎng)絡(luò)、AI，不代表本站觀點(diǎn)，版權(quán)歸版權(quán)所有人所有。本文無意侵犯媒體或個人知識產(chǎn)權(quán)，如有異議請與我們聯(lián)系。

ice

收藏 海報分享