NPM被恶意包淹没，下载量超过86,000次

安全研究人员发现了NPM代码库中的一个重大漏洞，攻击者自八月以来一直在利用该漏洞。这一弱点导致超过100个恶意包被植入，旨在窃取凭证，其中许多长期未被发现。安全公司Koi于周三披露了这一问题，强调了NPM在处理包依赖关系时的关键缺陷。该平台允许已安装的包自动从不受信任的来源获取并执行其他包，且未经过适当审查，形成了危险的攻击途径。\n\n被称为PhantomRaven活动的攻击者利用了NPM的远程动态依赖（RDD）功能。该功能允许包动态从外部、通常是不受信任的域下载依赖项，包括使用未加密HTTP连接的域。与传统依赖项可见且固定不同，RDD依赖项对开发者和许多安全工具来说是不可见的，因为这些依赖项未以常规方式声明。Koi报告称，PhantomRaven向NPM注入了126个恶意包，累计下载量超过86,000次。令人震惊的是，截至周三上午，约有80个此类危险包仍可下载。\n\nPhantomRaven利用RDD的行为尤其令人担忧，因为它绕过了静态分析工具和其他常见安全措施。由于依赖项每次安装包时都从攻击者控制的服务器动态获取，不会被缓存或版本控制，这使得追踪和检测恶意负载更加困难。攻击者使用的一些URL，如指向可疑域packages.storeartifact.com的链接，提供了这些隐蔽依赖，悄无声息地危害用户环境。缺乏透明度意味着开发者看到这些包时认为它们没有依赖，从而低估了使用风险。\n\n这一发现凸显了传统安全工具的明显盲点，即动态运行时获取的依赖项不可见且未受检查。Koi的安全分析师Oren Yomtov指出，攻击者在利用这些漏洞方面日益老练，使检测和防范更加困难。RDD为开发者提供了按需访问多样化库的灵活性，但如果不加监管，也为重大安全风险敞开了大门。\n\n总体而言，PhantomRaven活动强调了NPM生态系统内加强审查和安全实践的紧迫需求。依赖NPM包的开发者和组织必须意识到此类隐形且动态获取威胁的潜在风险。在实施更好防护措施之前，安装受损包的风险依然很高，可能使数百万用户面临凭证窃取和其他恶意活动的威胁。此事件应成为更广泛软件开发社区的警钟，促使重新思考依赖管理和验证流程。