恶意蠕虫在供应链攻击中破坏加密货币域名

安全公司Aikido于11月24日检测到第二波、规模更大的Shai-Hulud自我复制npm蠕虫，感染了492个软件包，这些包每月总下载量达1.32亿次，影响了AsyncAPI、PostHog、Postman、Zapier和ENS等主要生态系统。此次攻击利用了npm在12月9日撤销旧版身份验证令牌截止日期前的最后几周。该蠕虫会安装Bun运行时，使用TruffleHog搜索开发人员环境中的机密信息，并将窃取的凭证发布到公共存储库。一个重大的演变是增加了破坏性载荷：如果恶意软件无法使用窃取的凭证通过GitHub或npm进行身份验证，它将擦除用户主目录中的所有文件。证据表明，攻击者获得了对源代码存储库（如AsyncAPI的CLI存储库）的写入权限，而不仅仅是劫持npm令牌。Aikido估计，目前有超过26,300个GitHub存储库包含攻击者标记的已泄露凭证。缓解措施包括审计受影响生态系统的依赖项、轮换所有密钥，以及在CI管道中禁用npm的postinstall脚本。

(来源：CryptoSlate)