随着开源软件在现代软件开发中的核心地位愈发显著,供应链安全已成为业界关注的焦点。近期,安全研究机构揭露了一起针对npm和PyPI生态系统的重大供应链恶意软件攻击,影响涵盖上百万次下载量,波及全球数百万开发者和终端用户。此类事件不仅威胁软件开发的安全性,更对企业信息安全构成严峻挑战。此次供应链恶意软件操作的核心在于通过篡改与GlueStack相关的多个npm软件包,植入隐蔽的远程访问木马。攻击者通过修改关键文件“lib/commonjs/index.js”,实现远程执行Shell命令、截屏以及上传文件功能。这一恶意行为使攻击者能够持续控制受感染设备,进而执行挖矿、数据窃取甚至服务瘫痪等多重破坏操作。
研究人员指出,首个被篡改的软件包版本出现在2025年6月6日夜间,表明攻击行动具有高度隐蔽性和计划性。受影响的软件包涵盖@gluestack-ui/utils及多款react-native-aria子包,涉及的下载频次虽不一,但总体达近百万次周下载量,显示潜在影响范围之广。业内专家进一步发现,此次攻击所使用的恶意代码与此前被攻破的npm包“rand-user-agent”中出现的远程访问木马极为相似,显示背后极可能为同一批高级持续威胁(APT)组织操控。木马功能升级,新增通过命令收集系统信息和公共IP地址的能力,增强了攻击的情报收集与隐藏持久性。面对该威胁暴露,项目维护者迅速撤销了相关访问令牌,并将受影响版本标记为弃用,建议用户尽快回滚至安全版本以规避潜在风险。值得注意的是,事件报告指出,攻击者利用一名贡献者的公共访问令牌进行软件包篡改,反映出权限管理和身份验证机制的薄弱环节。
尽管官方强调被攻破的react-native-aria库为前端专用,不执行CLI或安装后脚本,恶意代码在普通使用场景下触发可能性较低,但供应链持久性威胁依然令人担忧。维护团队已采取禁用非必要权限、强制启用双因素认证等安全措施,旨在杜绝类似事件再发。与此同时,安全研究人员还发现两款此前伪装成常用工具的npm恶意软件包——express-api-sync与system-health-sync-api。这些软件包不仅窃取信息,更内置破坏性质的清除功能,能够删除本地应用目录,制造严重损失。其通过监听特定HTTP请求及硬编码密钥激活销毁命令,并采用邮件作为暗道将系统信息传回攻击者,此技术利用了大多数防火墙默认允许的SMTP通讯通道,提升了窃密隐蔽性。与express-api-sync相比,system-health-sync-api具备更强的智能化破坏能力,能够根据不同操作系统定制清除命令,展现攻击者的高超手段和详尽准备。
在PyPI端,安全公司亦发现一款伪装成Instagram增长工具的恶意Python包imad213,该包通过Base64编码隐藏行为,设有远程自毁开关。执行时,程序诱导用户输入Instagram账户凭证,并将凭据发送至十余个第三方服务,实现大规模敏感信息收集。此行为显示社交媒体成攻击重点,攻击者通过分散泄露机制混淆来源,企图规避检测。上传者IMAD-213的公开态度亦耐人寻味,其在GitHub自述中强调“仅供学习研究”,并建议使用虚假账号,制造假安全防范感。供应链攻击不仅危害软件完整性,更在信息安全领域掀起波澜。开发者和企业面对潜藏的威胁,需要从源头提升安全策略,加强访问控制和多因子认证,严格审查依赖包更新。
同时,应借助自动化工具与行为分析系统及时检测异常更新,防范恶意代码的悄然植入。此次事件揭示出包管理平台和开源生态中潜藏的复杂挑战,呼吁业界构建统一规范的供应链安全框架,推动安全教育和工具普及,减少人为操作失误带来的风险。随着攻击手法不断翻新,唯有持续关注最新威胁情报,拥抱安全优先的开发文化,方能有效防御未来供应链入侵。开发者应及时更新依赖包、回滚受影响版本,避免引入潜在恶意代码。同时,组织应定期开展安全审计、员工培训及应急演练,筑起抵御供应链攻击的坚固防线。最终,保护开源生态安全不仅关乎技术,更关乎全球数字经济的未来与信任基础。
。
