恶意软件“沙虫”入侵开发者软件供应链
一场名为“沙虫”的恶意软件活动正在开发者构建与分发代码的软件管道中蔓延,这引发了新的担忧:当今互联网在多大程度上依赖于缺乏直接人工监管的自动化系统。
研究人员将沙虫恶意软件活动关联到约320个软件包条目,涉及Node包管理器与PyPI——这两个最大的在线代码仓库被开发者用于下载和共享JavaScript与Python软件包。受影响的软件包每月累计下载量超过5.18亿次。
“沙虫活动的严重性在于它暴露了一个无法完全修补的问题:现代软件是通过运行他人编写的代码构建而成的,”加州安全公司首席技术官表示,“开发者不仅仅是‘下载’代码库,他们安装、构建、测试、部署并最终运行这些代码。如果运行了恶意代码库,它几乎能执行所有你能执行的操作。”
这位专家指出人工智能的发展使威胁进一步复杂化,并将沙虫比作让计算机成为双重间谍。“可怕之处在于其杠杆效应。攻击者只需攻破一个冷门软件包,就能渗透所有依赖该包的下游项目,进而窃取更多凭证、发布更多带毒软件包并形成循环。软件供应链已不再是链条,而成了传播网络。”
本月初,微软威胁情报团队披露攻击者向通过PyPI分发的某人工智能软件包注入了恶意代码。微软表示该恶意程序会下载伪装成知名机器学习库的附加文件,以便混入机器学习开发环境。
相关人工智能公司随后声明受影响开发者设备涉及此事,但强调“没有迹象表明公司基础设施遭到破坏”。两日后,另一家人工智能企业确认同一攻击活动感染了两名员工设备,攻击者由此访问了有限数量的内部代码仓库。该公司表示未发现客户数据、生产系统或知识产权受损的证据。
该恶意软件得名于科幻作品中的巨型沙虫。研究人员追溯其早期版本至2025年9月,并将其与某黑客组织关联。然而在5月11日针对某流行开源JavaScript框架的大规模攻击后,该活动才引起广泛关注。
沙虫属于日益增长的供应链攻击类型:黑客通过攻陷企业已使用的可信软件工具或服务,利用这些受信任系统传播恶意代码或渗透开发者环境,而非直接攻击目标。
研究人员指出,此类攻击会污染共享构建缓存,使后续软件版本无声无息地引入恶意代码。对下载软件包的开发者而言,一切看起来正常——软件来源可信、签名有效且通过常规安全检查,这正是攻击令人不安之处。
上周日,网络安全公司报告称新型仿冒恶意软件包已开始窃取云凭证、加密钱包密钥、SSH密钥及环境变量。同时部分变种试图将受感染设备转变为DDoS僵尸网络。
“证明此次攻击者与原先黑客组织不同的关键证据在于:沙虫恶意代码几乎是泄露源代码的精确复制品,未采用混淆技术,这使得最终版本与原始代码视觉差异极小,”安全研究人员写道,“我们在对比分析中并排展示了恶意版本与原始泄露代码,证实二者完全相同。”
沙虫事件曝光之际,现代软件开发正日益依赖自动化平台。与此同时,针对开源基础设施的供应链攻击愈发普遍,攻击重点逐渐从终端用户系统转向开发者工具与自动化发布系统。
荷兰网络安全公司研究总监指出:“沙虫事件警示我们,系统与产品的攻击面已远超传统应用层,深入到了支撑现代开发部署流程的开源软件包领域。”
本周二,某代码托管平台表示正在调查内部仓库遭未授权访问事件。此前有黑客组织声称窃取了约4000个私有仓库数据,并在网络犯罪论坛以至少5万美元标价出售。
专家进一步强调,沙虫事件揭示了针对可信软件自动化的攻击如何迅速从开发者工具蔓延至企业核心运营系统:“当受信任的npm依赖包可被武器化,用于从云应用和多目标应用环境窃取凭证时,风险就不再仅仅是开发者笔记本电脑的问题,而成为了通向核心业务系统的直接路径。这正是企业需要加强依赖控制、严格版本锁定和强化发布保障的根本原因。”
交易所
交易所排行榜
24小时成交排行榜
人气排行榜
交易所比特币余额
交易所资产透明度证明
去中心化交易所
资金费率
资金费率热力图
爆仓数据
清算最大痛点
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
ETF追踪
索拉纳ETF
瑞波币ETF
香港ETF
比特币持币公司
加密资产反转
以太坊储备
HyperLiquid钱包分析
Hyperliquid鲸鱼监控
大额转账
链上异动
比特币回报率
稳定币市值
期权分析
新闻
文章
财经日历
专题
钱包
合约计算器
账号安全
资讯收藏
自选币种
我的关注