npm 供应链攻击利用死尸开关
@intcyberdigest ‼️🚨 BREAKING: A new npm supply-chain attack uses a dead-man's …
一起新的npm供应链攻击利用死亡开关机制,在42个官方TanStack npm包中植入84个恶意版本。攻击者fork TanStack仓库并推送隐藏commit,欺骗其发布系统签名恶意包,使其对npm和SLSA provenance检查显示为100%合法。载荷在机器上植入监视器,一旦用户撤销被窃取的GitHub token,立即清空home目录。仅tanstack/react-router每周下载量超1200万。维护者Tanner Linsley确认团队启用2FA但无效。这是首个携带有效签名真实性证书的npm蠕虫。
‼️🚨 突发:一起新的 npm 供应链攻击使用了死亡开关(dead-man's switch)。载荷会在你的机器上植入一个监视器,一旦你撤销它窃取的 GitHub token,它就会立即清空你的 home 目录。
攻击发生在今天,波及 42 个官方 tanstack npm 包,共 84 个恶意版本。仅 tanstack/react-router 一个包每周下载量就超过 1200 万。
攻击者 fork 了 TanStack 的仓库,推送了一个隐藏的 commit。随后,他们欺骗 TanStack 自己的发布系统,将恶意包签名成真品。对 npm 以及任何检查加密来源证明(SLSA provenance)的人来说,这些被投毒的版本看起来 100% 合法。
维护者 Tanner Linsley 确认整个团队都启用了 2FA,但这无济于事。这是历史上首个有记录、携带有效签名真实性证书的 npm 蠕虫——而正是同一套证书,防御者原本依赖它来确认包未被篡改。