上週3家資安業者SourceCodeRED、Endor Labs,以及Sonatype提出警告,蠕蟲程式IndonesianFoods出現在NPM套件儲存庫,攻擊者以印尼語人名與食品術語隨機組合出套件名稱,以自動化的方式,平均每7秒就上架一個惡意套件,後續大型雲端服務業者Amazon也表示觀察到相關活動,並公布調查結果與處理情形。
Amazon Inspector資安團隊指出,這起活動最早可追溯到約10月24日,當時他們嘗試加入新偵測規則,並結合AI技術,結果開始發現有些不尋常的NPM套件,共通點是具備與加密貨幣Tea(tea.xyz)的通訊協定有關特徵,Tea是獎勵開放原始碼開發人員的區塊鏈平臺。
11月7日他們發現數千個套件,並著手調查,後續向開源基金會(OpenSSF)通報此事。經過OpenSSF的確認與協調,Amazon透過系統性的方式,將惡意套件登錄到OpenSSF惡意套件資料庫。這波攻擊持續到12日才告一段落,總共找到超過15萬個有問題的NPM套件。
這些套件的產生,都是透過自動化方式,進行自我複製,且沒有正常的功能,但也並未出現明顯的惡意程式碼。攻擊者的主要目的,就是利用加密貨幣Tea的獎勵制度,設置代幣農場(Token Farming),藉由自動複製及套件相依性糾纏等行為,來膨脹套件的熱門程度,藉此從開源社群牟取經濟利益。
雖然惡意套件不會竊取開發人員帳密與憑證,也並未部署勒索軟體造成破壞,但Amazon指出,這批垃圾套件還是對供應鏈安全帶來嚴重威脅。首先,大量無功能的低品質套件充斥NPM儲存庫,使得合法套件被掩沒,削弱開源社群的信任;再者,就是NPM的基礎設施、頻寬,以及儲存空間等資源,遭到無用套件占用。此外,日後其他駭客也可能跟進,鎖定這類獎勵制度來賺錢。
熱門新聞
2025-12-22
2025-12-22
2025-12-19
2025-12-19
2025-12-21
2025-12-23
