loading...
最近一次针对JavaScript生态的供应链攻击引发行业关注。黑客通过社会工程手段控制了知名开发者Josh Junon的GitHub账户,并在其维护的Qix代码包中植入恶意代码,相关警报于本周早些时候发出。
根据阿卡姆情报最新数据,此次攻击虽波及约10%的云环境,且99%的云环境使用了受攻击的软件包,但截至目前,威胁行为者钱包中仅累计收到价值1043美元的加密货币。该金额主要来自多笔小额转账,单笔金额介于1.29美元至436美元之间,以ERC-20代币为主。
攻击者在更新的代码包中添加了可激活API和加密钱包接口的恶意逻辑,具备扫描用户交易、重写收款地址及其他篡改交易数据的能力。这一技术手段表明攻击者具备高度针对性,其有效载荷设计可能仅针对特定配置或使用场景的用户。
该攻击不仅限于Qix项目,JFrog Security昨日报告称,DuckDB SQL数据库管理系统也遭到类似入侵。这使得本次事件被部分安全机构视为“历史上最大的npm攻击”,凸显了开源依赖链的脆弱性。
Wiz网络安全研究团队指出,快速发现与响应是限制损失的核心因素。该漏洞在发布后两小时内即被识别并移除。此外,攻击者的设计存在局限性,目标用户群体可能较为狭窄,同时开发人员对供应链风险的认知显著提升,许多组织已部署异常行为监控机制。
Wiz Research强调,随着越来越多组织依赖第三方代码库,软件供应链攻击正成为主流威胁。从域名抢注到恶意包接管,形式多样。过去几个月内,类似事件频发,包括7月以太坊ETHcode扩展遭遇恶意拉取请求,下载量超6000次。
研究人员呼吁企业加强整个软件开发流程的可见性,建立对依赖项变更的实时监控机制。特别是在高敏感度系统中,应实施更严格的代码审查与自动验证策略,防止潜在后门进入生产环境。
尽管当前事件未造成大规模财务损失,但其暴露的问题仍值得警惕。未来若攻击者调整策略,扩大目标范围,后果或将不可预测。持续关注区块链分析与软件供应链安全,已成为保障数字资产安全的重要一环。
154
574
368
844
433
295
347
138
457
698
