趨勢科技發佈 Node Package Manager(NPM)平台發生供應鏈攻擊示警,其部落格文章中指出2025 年 9 月 15 日起,Node Package Manager(NPM)平台發生供應鏈攻擊,攻擊者透過精準的網路釣魚手法入侵某些 NPM 套件維護者的帳號,而後把惡意程式碼注入 JavaScript 套件中,這些套件受到廣泛使用、下載總量每週超過數十億次,影響範圍涵蓋應用程式開發及加密技術相關模組,對軟體供應鏈安全構成重大風險。
趨勢科技說明,在現代軟體開發扮演要角的 NPM 是這起攻擊鎖定的目標,估計這起事件的影響範圍可能擴大至全球數百萬名正在使用的開發者,此外,這起事件中名為 Shai-hulud 的蠕蟲惡意程式能自我傳播,將比以往的威脅更具危險性、以更快的速度擴散。
趨勢科技呼籲企業組織與開發人員應謹慎留意這起事件帶來的潛在威脅影響,提出以下五點建議:
- 審核相依套件,特別是最近更新的套件:
檢查所有相依性,尤其留意近期有修改的,並移除或回溯任何看似遭到入侵的套件。
- 撤銷並更換憑證,特別是 NPM 帳號:
立即撤銷並替換所有可能外洩的憑證或 API 金鑰,優先處理敏感帳號。
- 監控是否有 Trufflehog 或類似掃描工具的跡象:
檢查日誌中是否有異常的程式庫掃描活動,並主動掃描自己的程式碼庫,以偵測是否有機密資料外洩。
- 隨時掌握官方 NPM 註冊表與可信來源的公告:
定期關注官方公告,及時套用最新修補措施與建議行動。
- 強化存取與安全政策:
例如,對所有影響程式庫與自動化的帳號套用「最小權限原則」,並強制所有開發者與 CI/CD 存取點使用多重認證(MFA)。