🐟 (@stevessr) 在 AsyncAPI npm 包被盗用凭证恶意软件感染 中发帖
[!quote]+
五个恶意版本的 AsyncAPI 包被发布到节点包管理器(NPM),通过一次供应链攻击,释放了一个具备信息窃取能力的远程访问木马。
该威胁行为者利用了配置错误的GitHub Actions工作流程,在@asyncapi命名空间中推送了被木马化的包,累计每周下载量超过225万次。
多家安全公司证实,7月14日,一名攻击者攻破了两个AsyncAPI GitHub仓库,并在项目文件中注入了恶意软件。
Step Security 的一份报告写道:“这两次攻击都是 CI/CD 管道的入侵,而非被盗的 npm 令牌或恶意维护者。”
研究人员解释说,“攻击者通过占位git身份推送提交,并让每个仓库的真实发布流程通过npm的GitHub OIDC可信发布者集成完成发布。”
通过这样做,攻击者确保最终的包拥有合法的SLSA来源证明,表明它们来自授权的工作流程。
[i...