夜雨聆风
来自:前端开发爱好者
今年不到半年时间,npm 已经连续爆出多起重量级供应链攻击。
前段时间 axios 被投毒, 随后 TanStack 大面积污染, 而就在昨天,又连续爆出两起重量级供应链攻击:
AntV 生态 npm 包被植入恶意代码 VS Code 插件 Nx Console被投毒
AntV 生态被大规模投毒
安全公司 Socket 披露:
大量 @antv 相关 npm 包被植入恶意代码,涉及数百个包、数百个恶意版本。
攻击方式非常直接,开发者执行:
npm install恶意代码就会自动运行。
主要会偷:
GitHub Tokennpm TokenAWS/GCP/Azure凭证SSH KeyKubernetes配置Docker凭证.envCI/CD Secrets
最危险的是:
它还会尝试利用窃取到的 npm / GitHub 权限继续传播恶意包。
也就是说:
开发者中招↓Token 泄漏↓更多 npm 包被污染↓进一步扩散AntV 如何自查?
1、检查 lockfile
重点查看:
package-lock.jsonpnpm-lock.yamlyarn.lock
是否存在最近升级的 AntV 相关异常版本。
2、删除依赖重新安装
建议直接:
rm -rf node_modulesrm package-lock.jsonnpm install3、检查 IOC
搜索是否存在:
t.m-kosche.com相关访问记录。
4、最重要:立即轮换 Secrets
如果怀疑安装过可疑版本:
请立刻更换:
GitHub Tokennpm Token云平台 Key SSH KeyCI/CD Secrets
因为这些信息很可能已经被上传。
Nx Console VS Code 插件也被投毒
更离谱的是:昨天不仅 npm 包出事,连 VS Code 插件 也沦陷了。
被投毒的是:
nrwl.angular-console也就是著名的:
Nx Console安装量超过 220 万。
影响范围包括:
VS CodeCursorWindsurfVSCodium
这次最危险的地方在于:
不需要
npm install。
开发者只要打开项目,
插件就可能自动执行恶意代码。
恶意版本
目前确认存在问题的版本:
18.95.0虽然只在线了十几分钟,但很多编辑器默认开启:
自动更新扩展所以传播速度依然非常快。
恶意代码做了什么?
核心目标依然是:
GitHub TokenSSH Keynpm TokenDocker凭证云平台权限 CI/CD Secrets
本质上:
攻击目标就是开发者电脑。
而且 payload 甚至来自官方 GitHub 仓库路径,
很多安全工具默认会信任官方源,
导致检测难度进一步增加。
Nx Console 如何自查?
执行:
code --list-extensions --show-versions | grep angular-console检查是否安装过:
18.95.0如果安装过:
1、立即删除插件
重新安装官方安全版本。
2、轮换所有凭证
包括:
GitHub PATnpm TokenSSH KeyAWS/GCP/Azure KeyOpenAI API Key数据库密码
3、检查 GitHub 是否异常
重点排查:
新增 PAT未知 Workflow异常 npm publishDeploy Key未知 public repo
写在最后
以前大家觉得:
npm install只是装依赖。
现在实际上等同于:“执行陌生代码”。
而 VS Code 插件,也早就不是简单 UI 插件了。
它们拥有:
文件系统权限Shell 权限Git 权限网络权限环境变量权限
今年这一连串事件,其实已经说明:开发工具链,正在成为新的主战场。
以后:
npm包VS Code插件AI Coding插件
都可能成为供应链攻击入口。
开发者真的要开始重视:本地开发环境安全了。
AntV 投毒相关链接: https://socket.dev/blog/antv-packages-compromisedNx Console VS Code 相关链接: https://www.stepsecurity.io/blog/nx-console-vs-code-extension-compromised
END
推荐阅读:
