网络安全公司慢雾近日发布重大安全预警,其自主研发的MistEye威胁监测系统发现了一起针对开发者群体的跨注册表供应链攻击事件。据悉,该攻击已通过npm、PyPI和Crates.io三大主流软件包管理器传播了至少34个恶意软件包,涵盖384个以上相关版本。
本次攻击具有极强的针对性和危害性,攻击者可能借此窃取包括加密钱包、SSH密钥、云服务凭证、GitHub/AWS访问令牌、浏览器数据、环境变量及开发者密钥在内的多种敏感信息。值得注意的是,受影响的开发者群体主要集中在加密技术、去中心化金融(DeFi)、Solana区块链、Sui/Move生态系统以及人工智能(AI)等前沿技术领域。
更令人担忧的是,部分恶意软件包采用了多种持久化驻留技术,包括但不限于通过.cursorrules、CLAUDE.md文件,Git hooks、shell hooks脚本,以及cron任务、systemd服务和SSH配置等方式,以确保其在受感染系统中长期潜伏。
对此,慢雾安全团队建议受影响开发者立即采取以下应急措施:
1. 及时移除所有受影响的软件包;
2. 隔离可能被感染的系统;
3. 轮换所有已暴露的凭证与密钥;
4. 使用纯净系统镜像重建CI运行环境及开发机器;
5. 全面排查GitHub、云服务、SSH及加密钱包等活动记录,确保系统安全。
此次事件再次凸显了软件供应链安全的重要性,提醒广大开发者保持警惕,及时更新安全防护措施。
