随着开源软件和包管理器的广泛应用,软件供应链安全问题日益引起全球开发者的高度关注。近日,备受依赖的NPM包——‘is’,因一次严重的供应链攻击而被植入后门恶意代码,造成广泛影响。该包每周拥有超过280万的下载量,广泛应用于开发工具、测试库、构建系统以及后端和命令行项目中,事件的爆发令社区震惊,也折射出开源生态系统安全隐患的巨大挑战。 ‘is’包是一个轻量级的JavaScript实用工具库,提供丰富的类型检查和数值验证功能。其风靡的程度使它成为开发者项目中不可或缺的依赖底层库。然而,2025年7月19日,‘is’包的主要维护者John Harband发布公告,确认版本3.3.1到5.0.0中被植入了恶意软件。
攻击者通过钓鱼手段劫持了维护者的账号,并在未经授权的情况下进行了所有者变更,利用这个窗口发布了带有后门代码的恶意版本。虽然这些版本被迅速下线,大约6小时后被移除,但在此期间仍有大量开发者在不知情的情况下下载并使用了受污染的版本。 深入分析发现,恶意代码主要是一种跨平台的JavaScript恶意载入器,开启了基于WebSocket的后门,允许攻击者远程执行任意代码。一旦激活,代码会收集系统信息,包括主机名、操作系统版本、CPU详细信息和环境变量,继而通过动态加载ws库将这些数据通过WebSocket连接泄露给攻击者。更严重的是,攻击者可以通过该连接发送JavaScript代码,这些代码在受感染环境中被执行,实现完全的远程交互式控制,这对受害者的安全构成极大威胁。 此次攻击采用了假冒域名npnjs[.]com进行钓鱼攻击,这是攻击者获取维护者凭证的关键手段。
除了‘is’包外,还有多个知名NPM包确认被同一攻击链感染,包括eslint-config-prettier的多个版本、eslint-plugin-prettier、synckit、@pkgr/core、napi-postinstall和got-fetch等。这些包同样推送了恶意载荷,部分Payload甚至包含专门针对Windows平台的信息窃取工具‘Scavanger’,用以窃取浏览器内敏感信息。 ‘Scavanger’恶意软件性能强大,具备多线程数据盗取能力和规避安全检测的机制,如间接系统调用和加密控制命令通信,增加了被检测的难度。尽管此类特征可能触发Chrome的安全警告,但其隐蔽性依然不容忽视。攻击者可能还在持续尝试利用更多维护者账号及探索更隐蔽的新型载荷,这为NPM生态带来更复杂的安全挑战。 供应链攻击的核心危害在于其隐匿性和传播范围大。
一旦关键依赖库被感染,大量依赖该库的项目都会遭到波及,恶意代码能无声无息地渗透入千千万万个开发环境中。这种攻击不但威胁个人开发者的系统安全,更可能导致企业级项目乃至生产环境的危机,最终影响软件产业链整体生态的健康发展。 从此次事件中吸取教训,维护者和开发者需积极采取多层次的防护措施。维护者首先应加强账号安全防护,启用多因素认证,并定期更换密码和访问令牌,防止凭证泄露。同时要关注自己的包发布流程,利用持续集成和安全扫描工具检测异常版本。开发者则应尽量锁定依赖版本,避免自动升级导致潜伏风险版本引入项目。
锁定版本的同时,可以通过校验包完整性、在受信任的环境中审查依赖更新,降低风险。 此外,社区和平台厂商也需加大安全投入。NPM官方正加强安全策略,要求维护者启用强认证机制和访问权限管理,提升供应链安全防护韧性。安全研究机构应持续监控生态内异常行为,及时通报并阻断恶意包传播。整体而言,构建一个安全透明的开源生态,需要社区成员、平台与安全专家共同协作,形成持续的防御和快速响应能力。 无论是个体开发者、中小型团队还是大型企业,面对日益严峻的软件供应链安全态势,都不能掉以轻心。
定期更新和审计依赖,禁用自动升级功能,选择信誉好且稳定的包版本,强化开发环境安全,都是应对策略的基本底线。通过学习此次‘is’包事件中暴露的风险,开发者能够增强风险意识,并借助现代安全工具守护项目安全。 综上所述,NPM包‘is’遭遇的供应链攻击提醒我们:软件供应链安全是开源生态的生命线。只有不断提升安全认知,完善身份认证与发布流程,携手营造健康的包管理环境,才能抵御类似攻击,保护数百万开发者和用户的利益。此事件对整个开发社区敲响警钟,也推动大家更加重视软件依赖的可信度,筑牢数字时代软件安全的第一道防线。
