夜雨聆风
聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。
随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的安全攻击事件一直呈快速增长态势,造成的危害也越来越严重。
为此,我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯,分析供应链安全风险,提供缓解建议,为供应链安全保驾护航。
注:以往发布的部分供应链安全相关内容,请见文末“推荐阅读”部分。
安全研究员 RyotaK 在近期发现,Anthropic 公司提供的 Claude Code GitHub Actions 工作流中存在一个可被利用的漏洞。攻击者可以通过以下方式绕过其权限控制并将不受信任的输入注入工作流:首先,创建一个恶意 GitHub App 并安装在自己控制的仓库中,然后利用该 App 的安装令牌在任意公共仓库中创建 Issue 或 Pull Request,以此触发 Claude Code 的 agent 模式工作流。由于该工作流原有的权限检查会无条件放行任何 GitHub App,攻击者得以将恶意构造的提示词注入流程。Claude 在被诱导执行后,会读取 /proc/self/environ 文件,从而获取包 含 ACTIONS_ID_TOKEN_REQUEST_TOKEN 和 ACTIONS_ID_TOKEN_REQUEST_URL 在内的环境变量。通过这些凭据,攻击者可以进一步向 Anthropic 后端换取具有写入权限的 Claude GitHub App 安装令牌,最终能够向目标仓库(包括 anthropics/claude-code-action 自身)推送恶意代码。此外,文章还指出官方示例工作流中存在的常见错误配置(allowed_non_write_users: "*")同样可以被利用,通过链式攻击从普通外部用户权限逐步升级到完全仓库控制。
该漏洞的影响范围非常广泛。任何使用 Claude Code GitHub Actions 工作流的仓库都可能被攻击者完全控制,包括 Anthropic 公司自身的仓库。攻击者不仅能够窃取仓库中的敏感信息,还可以通过篡改 claude-code-action 的源代码,将后门传播到所有依赖该 Action 的下游仓库,形成供应链攻击。
Anthropic 已发布版本 v1.0.94 修复了这些问题,通过默认禁止 GitHub App 触发工作流、禁用工作流运行摘要区域、以及清理子进程环境变量等方式缓解了风险。尽管如此,研究人员强烈建议所有使用者立即审计自己的工作流配置,尤其应避免使用 allowed_non_write_users,并检查是否存在可疑的日志记录。该漏洞的CVSS评分为7.8,研究员获得4500美元奖金。
Aikido 公司的安全研究人员披露了一起针对 OpenAI Codex 开发者的恶意供应链攻击活动。攻击者利用一个看似合法的远程 Web UI 工具 “codexui‑android”,在 npm 和 GitHub 上发布该软件包,周下载量超过 2.9 万次。与传统的 typosquat 或一次性恶意包不同,该功能完整的软件包经过了持续开发,恶意代码在包发布约一个月后才被植入。攻击者同时使用 Android 应用 “OpenClaw Codex Claude AI Agent”(下载量超 5 万次)和 “Codex”(下载量超 1 万次)作为投递载体。这些应用在 PRoot 沙箱中运行该 npm 包,当用户在应用内登录 Codex 时,包内代码会读取本地 ~/.codex/auth.json 文件中以明文存储的 Codex 认证令牌(包括 access_token、refresh_token、id_token 及账户 ID),并将这些凭证外泄至伪装成 Sentry 监控平台的攻击者服务器(sentry.anyclaw[.]store)。
由于窃取的 refresh_token 永不过期,攻击者可长期静默冒充受害者,获得对账户的持续访问权限,远超简单的聊天接口访问。受影响的 npm 包在攻击者控制的账户 “friuns” 下维护,其关联的 X 账户域名与攻击者服务器一致(anyclaw[.]store),WHOIS 记录显示该域名注册时间(2026‑04‑12)仅比首个恶意 npm 包版本(0.1.72)晚两天。此次事件凸显了 AI 开发工具链正成为供应链攻击的新目标。
上个月末,研究人员还发现已删除的 Google API 密钥在长达 23 分钟内仍然有效(中位数约 16 分钟),攻击者可利用这一窗口访问 Google Gemini 等 API 窃取文件及对话缓存;谷歌最初拒绝将此视为安全问题,后将其升级为 P0 级漏洞要求立即修复。
近日,安全公司 Aikido 和 OX Security 发现,Red Hat 旗下 @redhat-cloud-services 命名空间中的30 多个 npm 包(共 96 个版本)遭供应链攻击,被植入一款名为 Miasma 的新型凭证窃取恶意软件(Shai-Hulud 的变种)。
攻击者据称通过入侵 Red Hat 员工的 GitHub 账户,直接向多个仓库推送恶意提交,添加了 GitHub Actions 工作流和一个脚本。该脚本利用 GitHub 的 OIDC 令牌和 npm 的可信发布机制,自动向 npm 注册表发布被植入后门的软件包版本。这些软件包中包含恶意的 preinstall 脚本,当开发者安装时,会自动执行一个高度混淆的 index.js 文件(约 4.2 MB)。该恶意软件会窃取 GitHub Actions 密钥、AWS / Google Cloud / Azure 凭证、HashiCorp Vault 令牌、Kubernetes 服务账户令牌、npm / PyPI 发布令牌、SSH 密钥、Docker 凭证、GPG 密钥以及 env 文件中的敏感信息。受影响的包每周下载量约11.7 万次。
Red Hat 在获悉后已立即从 npm 注册表中移除了这些包,并表示此次入侵仅限于内部开发工具,恶意代码从未通过 console.redhat.com 向客户发布,目前未发现对客户、合作伙伴环境或 Red Hat生产系统造成影响。该公司建议任何安装了受影响版本的组织立即轮换所有相关凭证。此外,该恶意软件与 TeamPCP团伙 此前泄露的 Mini Shai-Hulud 框架高度相似,但增加了多层混淆和多阶段载荷投递机制。截至发稿,已有 309 个 GitHub 仓库被 Miasma 供应链攻击活动攻陷。
TrapDoor 供应链攻击通过 npm、PyPI 和 CratesIO 传播凭据窃取恶意软件
GitHub 被黑或因员工安装 Nx Console 恶意扩展引发,更多详情待调查
GitHub 内部仓库疑遭未授权访问,TeamPCP 据称正在出售 GitHub 内部源代码
奇安信Qcode Agents重磅升级,正式解锁操作系统级漏洞挖掘能力
Grafana 令牌被盗,GitHub 环境可遭访问且代码库被下载
TeamPCP再发动供应链攻击;数百个恶意包被上传,RubyGems 暂停新账号注册
Checkmarx 再遭攻击,Jenkins AST 插件受陷
Go 流行库 fsnotify 的维护人员访问权限变更,拉响供应链攻击警报
Gemini CLI 严重漏洞可触发 RCE 攻击和软件供应链风险
Trivy供应链攻击触发CanisterWorm 在47个 npm 包中自传播
热门包管理器中存在多个漏洞,JavaScript 生态系统易受供应链攻击
开源自托管平台 Coolify 修复11个严重漏洞,可导致服务器遭完全攻陷
得不到就毁掉:第二轮Sha1-Hulud供应链攻击已发起,影响2.5万+仓库
热门 React Native NPM 包中存在严重漏洞,开发人员易受攻击
10个npm包被指窃取 Windows、macOS 和 Linux 系统上的开发者凭据
热门 React Native NPM 包中存在严重漏洞,开发人员易受攻击
热门NPM库 “coa” 和“rc” 接连遭劫持,影响全球的 React 管道
GitHub Copilot 严重漏洞可导致私有仓库源代码被盗
受 Salesforce 供应链攻击影响,全球汽车巨头 Stellantis 数据遭泄露
https://www.bleepingcomputer.com/news/security/red-hat-npm-packages-compromised-to-steal-developer-credentials/
https://thehackernews.com/2026/06/miasma-supply-chain-attack-compromises.html
https://flatt.tech/research/posts/poisoning-claude-code-one-github-issue-to-break-the-supply-chain/
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
