随着开源软件生态的快速发展,npm作为JavaScript和React Native开发者最重要的包管理平台,承载了海量的项目依赖。近日,一起震惊安全界的供应链攻击被揭露,涉及17个热门npm软件包,这些包每周累计下载次数超过一百万次,安全事件引起了广泛关注。被植入的恶意代码实质上是一种远程访问木马(RAT),允许攻击者远程控制感染设备,带来了严重的安全隐患。此次供应链攻击由安全研究公司Aikido Security发现,他们在多个@react-native-aria组件中检测到了高度混淆的恶意代码,该代码被巧妙地隐藏在lib/index.js文件的尾部,这使得传统的代码审查难以轻易发现异常。攻击始于2025年6月6日,当时被攻击组发布了受感染的@react-native-aria/focus包的新版本,随后在17个包中均注入了恶意payload。安装或更新受影响的包意味着系统或开发环境可能被远程攻击者利用,执行任意命令并窃取敏感数据。
此次事件凸显了开源供应链的复杂风险及生态漏洞。分析受影响的软件包列表可以看到,如@react-native-aria的button、checkbox、combobox等组件普遍使用于前端UI开发,这些频繁依赖的工具包被攻击,意味着大量开发者和终端用户面临潜在威胁。恶意代码主要功能是当包被加载时自动与攻击者控制的服务器建立连接,然后接受远程命令执行请求,包括更换当前工作目录、上传下载文件、终止任务甚至执行任意shell命令。更令人担忧的是,此恶意后门还会修改环境变量PATH,将其指向一个伪造的Python路径,从而拦截python和pip的调用,实现更隐蔽的攻击和持续操控。此次攻击背后的黑客组织很可能是先前利用其它npm包实施供应链攻击的同一团伙,他们利用包发布流程的安全漏洞窃取开发者令牌,然后注入恶意代码。这反映出当前包管理平台的访问控制和审核机制仍有较大提升空间。
消息曝光后,GlueStack作为受影响组件的维护者迅速收回了发布令牌,并将受污染版本标记为废弃,提醒用户应尽快升级或回退到安全版本。同时,npm官方也被通知并着手清理受影响包,尽管移动过程相对缓慢,受到依赖关系的制约。开发者社区对此事件反应强烈,呼吁强化供应链安全意识。除了网络安全专家建议关注仓库权限管理、使用代码扫描工具和构建运行时行为检测机制外,用户还需谨慎选择依赖包版本,避免自动更新依赖到未知或未充分审核的版本。供应链攻击作为近年来网络安全的重要威胁,呈现出更隐蔽和复杂的趋势。从加密混淆代码插入到动态指令执行,攻击手段层出不穷,npm事件再次敲响警钟,开发者团队和平台运营者必须联合提升整体防护水平。
未来生态安全的保障不仅依赖技术手段,更需要社区积极参与,及时举报可疑行为,加强包维护者身份认证,推动第三方包的安全审计。这次事件不仅是对npm生态的警示,也为全球开源软件供应链安全提供了宝贵的反思。通过不断完善安全措施,最终实现依赖链的可信和透明,保护亿万开发者及其用户的数据和隐私安全。关注并及时跟进相关安全公告和升级指南,是每个开发者的职责和必修课。只有全社会共同努力,才能抵御日益严峻的网络攻击威胁,守护技术创新与数字经济的稳健发展。
