網路安全研究人員近日發現一起大規模供應鏈攻擊事件,駭客透過入侵十多個與 GlueStack 相關的軟體套件來散布惡意軟體,這些套件的週下載量總計近百萬次。
攻擊手法與影響範圍
根據 Aikido Security 向外媒的通報,攻擊者透過修改「lib/commonjs/index.js」檔案植入惡意程式碼,使其能夠在受感染的機器上執行 shell 指令、擷取螢幕畫面並上傳檔案。首次套件入侵事件於 2025 年 6 月 6 日晚間 9 時 33 分(GMT)被偵測到。
受影響的套件包括:
- @gluestack-ui/utils 版本 0.1.16 及 0.1.17
- @react-native-aria 系列套件共 15 個,涵蓋 button、checkbox、focus、overlay 等元件
這些惡意軟體可用於執行多種後續攻擊行為,包括挖掘加密貨幣、竊取敏感資訊,甚至癱瘓服務系統。
攻擊者身分與技術特徵
研究人員發現,注入這些套件的惡意程式碼與上個月「rand-user-agent」npm 套件遭入侵後散布的遠端存取木馬程式相似,顯示可能為同一威脅行為者所為。
新版本的木馬程式增加了兩個新指令功能:
- ss_info:收集系統資訊
- ss_ip:取得主機的公共 IP 位址
GlueStack 項目維護者已於 6 月 9 日發布事件報告,承認其中一名貢獻者的公開存取權杖遭到入侵,導致攻擊者能夠發布經過篡改的套件版本。
項目維護者 Suraj Ahmed Choudhury 表示:「React Native ARIA 是一個純前端函式庫,不會在 CLI 或安裝後腳本中執行任何程式碼,因此惡意程式碼在用戶系統上執行的可能性極低。」
維護者已採取以下緊急應對措施:
- 撤銷所有受影響的存取權杖
- 將受影響版本標記為已棄用
- 撤銷所有非必要貢獻者的 GitHub 存取權限
- 啟用雙因素驗證(2FA)
npm 平台發現破壞性惡意套件
與此同時,Socket 安全公司發現兩個惡意 npm 套件(express-api-sync 和 system-health-sync-api),這些套件偽裝成合法工具程式,但實際上包含可刪除整個應用程式目錄的破壞程式。
express-api-sync 套件聲稱是用於同步兩個資料庫的 Express API,但一旦收到硬編碼金鑰「DEFAULT_123」的 HTTP 請求,就會執行「rm -rf *」指令遞迴刪除所有檔案。
system-health-sync-api 則更加複雜,同時具備資訊竊取和檔案刪除功能,並會根據作業系統類型調整刪除指令(Windows 使用「rd /s /q .」,Linux 使用「rm -rf *」)。
研究人員同時在 Python Package Index(PyPI)發現名為「imad213」的惡意套件,該套件偽裝成 Instagram 增粉工具,實際上是憑證收集程式。該套件具有以下特徵:
- 使用 Base64 編碼隱藏真實目的
- 透過 Netlify 託管的控制檔案實作遠端終止開關
- 誘騙用戶輸入 Instagram 憑證並傳送至十個不同的第三方機器人服務
資安專家建議
面對這波供應鏈攻擊,資安專家建議:
- 立即檢查依賴套件:開發者應檢查專案中是否使用了受影響的套件版本
- 回滾至安全版本:如發現使用惡意版本,應立即回滾至安全版本
- 啟用雙因素驗證:所有套件發布者應啟用 2FA 保護帳戶安全
- 定期安全掃描:使用自動化工具定期掃描依賴套件的安全性
這起事件凸顯了開源軟體供應鏈的脆弱性,以及建立完善安全防護機制的重要性。隨著攻擊者手法日益精進,開發社群必須更加重視套件安全管理與驗證機制。
本文轉載自thehackernews。