当前位置: 首页
科技数码
突遭区块链蠕虫攻击,npm超140个毒包肆虐分析与防范

突遭区块链蠕虫攻击,npm超140个毒包肆虐分析与防范

热心网友 时间:2026-03-30
转载

这是继 2025 年的 Shai-Hulud 蠕虫之后,第二起确认的自我传播 npm 攻击。说明这种玩法已经被黑客摸透了,以后只会更多。 npm 生态系统正遭遇一场前所未有的供应链灾难!一个名为Ca

这是继 2025 年的 Shai-Hulud 蠕虫之后,第二起确认的自我传播 npm 攻击。说明这种玩法已经被黑客摸透了,以后只会更多。

npm 生态系统正遭遇一场前所未有的供应链灾难!

一个名为CanisterWorm的自我传播蠕虫病毒已感染 超过 140 个恶意包制品,波及 66 个以上独特 npm 包。

该蠕虫利用窃取的开发者凭证自动传播,无需人工干预即可感染新的包,形成指数级扩散的"供应链瘟疫"。

事件起因

事情要从去年说起。

有个黑客团伙叫TeamPCP,他们先黑进了Trivy(就是那个很火的漏洞扫描工具)。

他们在Trivy的v0.69.4版本里塞了后门,然后一口气在GitHub上强推了75个恶意标签。

很多开发者中招后,这帮人拿到了大量的 npm 账号密码。

\

然后他们写了这个CanisterWorm蠕虫——它会自动用你的账号去发布新的毒包,感染更多人。

它是怎么传染的?三步走

第一步:你装了个带毒的包

npm install @emilgroup/xxx ← 看起来正常的包,postinstall 脚本偷偷运行

第二步:它偷你的 npm 账号

翻你的.npmrc文件找 token看环境变量里的NPM_TOKEN找到就保存下来

第三步:它用你的身份发毒包

"检测到你有 5 个 npm 包,正在帮你发布 v1.2.3..."

然后下一个开发者安装这些包,循环往复...

已经有多少人中招?

140+ 个恶意版本被发布66 个以上的包被感染重灾区:@emilgroup/*(28 个)、@opengov/*(16 个)

如果你最近装过这些组织的包,你的系统可能已经有后门了。

这蠕虫最阴的地方——它用区块链当服务器。

具体来说,它连的是Internet Computer (ICP)的 canister(类似智能合约)。

这玩意儿是去中心化的,没有固定 IP,没有单一服务器,你根本没办法查封它。

它每50分钟去区块链上问一次:"有新指令吗?"

现在那个指令指向的是一个 YouTube 视频(Rick Roll),所以目前是"休眠"状态。

但黑客随时可以把视频链接换成真正的恶意代码,瞬间激活全球所有感染的机器。

还有更狠的:它会看你在哪个国家

最新版本加了地理识别:

检测到是伊朗的电脑 → 直接格式化硬盘 + 强制重启(搞破坏)其他国家的 → 悄悄装后门(搞潜伏)

这说明攻击者不单单只是为了钱。

我们现在可以做什么?(按优先级)

应急方案(5 分钟内):

去https://www.npmjs.com/settings/tokens删掉所有token,重新创建跑上面的检查命令,看有没有pgmon服务如果你维护npm包,检查最近有没有异常版本发布删掉node_modules和package-lock.json,重新装依赖加这个配置,禁止安装时自动跑脚本:

npm config set ignore-scripts true

(缺点是有些正常包也会失效,但安全第一)

长期方案

给npm账号开2FA(双因素认证)用短期有效的token,别用永久token装包前看看是不是最新源,版本号有没有异常

写在最后

以前的供应链攻击:黑客手动一个个包植入,被抓就完了。

这次的蠕虫:全自动传播,越传越多,根本停不下来。

而且这是继 2025 年的Shai-Hulud蠕虫之后,第二起确认的自我传播 npm 攻击。说明这种玩法已经被黑客摸透了,以后只会更多。

现在就去检查你的 npm token 和系统服务。别等明天,明天可能就轮到你当"帮凶"了。

信息来源:GBHackers、Socket、Aqua Security 等安全团队

相关链接:https://gbhackers.com/canisterworm-hijacks-npm/

来源:https://www.51cto.com/article/839370.html

游乐网为非赢利性网站,所展示的游戏/软件/文章内容均来自于互联网或第三方用户上传分享,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系youleyoucom@outlook.com。

同类文章
更多
高刷显示器提升FPS游戏命中率,LG Display研究证实

高刷显示器提升FPS游戏命中率,LG Display研究证实

LGDisplay研究显示,31名玩家在60Hz至480Hz刷新率下测试第一人称射击游戏。对比60Hz,480HzOLED显示器命中率提升约38%,其中60Hz升至240Hz提升最为显著,再升至480Hz再增约10%,输入延迟减少超过10毫秒。

时间:2026-07-12 12:41
年确认不插入闰秒,距上次调整已10年

年确认不插入闰秒,距上次调整已10年

国际地球自转和参考系服务宣布2026年末不插入闰秒,距上次调整已隔十年。闰秒用于协调原子时与地球自转时,已调整27次均为正闰秒。因气候变化导致地球自转减速,首个负闰秒推迟至2029年,国际计量界计划2035年前废止闰秒机制。

时间:2026-07-12 12:41
红米Note 17 Pro首销活动送电池升级保五年免费换新

红米Note 17 Pro首销活动送电池升级保五年免费换新

REDMINote17Pro首发提供五年电池升级保障:前四年电池健康低于80%免费换新,第五年升级为更大容量电池。内置9000mAh电池,支持67W快充与22 5W反向充电,配备康宁大猩猩Victus2玻璃及四重防水认证,防护规格对标旗舰。

时间:2026-07-12 12:41
三星A18渲染图曝光 机身变厚或搭载6000mAh电池

三星A18渲染图曝光 机身变厚或搭载6000mAh电池

据悉,三星A18最新渲染图曝光,其机身厚度增至7 84毫米,较上一代增加0 34毫米,推测或为配备6000毫安时大容量电池。此外,外观延续水滴屏设计,后置三摄模组有微调,并且底部配备USB-C接口,还支持快速充电功能。

时间:2026-07-12 12:41
三星S26像素级防窥屏幕隐私保护再升级

三星S26像素级防窥屏幕隐私保护再升级

三星GalaxyS26系列搭载像素级隐私显示技术,从硬件层面控制OLED子像素发光方向,实现物理级防窥,正面观看画质无损,侧面超60°即模糊。该功能深度集成OneUI8 5,支持智能场景触发和多档位强度调节,与Knox安全平台形成防护体系,无需贴膜,不损画质。

时间:2026-07-12 12:40
热门专题
更多
刀塔传奇破解版无限钻石下载大全 刀塔传奇破解版无限钻石下载大全
洛克王国正式正版手游下载安装大全 洛克王国正式正版手游下载安装大全
思美人手游下载专区 思美人手游下载专区
好玩的阿拉德之怒游戏下载合集 好玩的阿拉德之怒游戏下载合集
不思议迷宫手游下载合集 不思议迷宫手游下载合集
百宝袋汉化组游戏最新合集 百宝袋汉化组游戏最新合集
jsk游戏合集30款游戏大全 jsk游戏合集30款游戏大全
宾果消消消原版下载大全 宾果消消消原版下载大全
  • 热门数据榜