繼 2024 年 7 月造成全球超過 800 萬台電腦藍畫面災難後,知名資安公司 CrowdStrike 又捲入另一場安全危機。這次事件與其維護的 NPM 軟體套件有關,資安研究員 Brian Krebs 發現,至少 25 個由 CrowdStrike 維護的 NPM 套件遭到一種名為「沙蟲(Shai-Hulud)」的惡意程式感染,這是一種具備自我複製能力的蠕蟲型病毒。
「沙蟲」這個名稱取自科幻小說《沙丘》裡的巨大沙漠生物,代表其潛藏性與破壞力。它的威力在於:一旦開發者安裝了受感染的套件,沙蟲就會在開發者的電腦中搜索存取權杖(Token),這些憑證一旦落入沙蟲之手,就會用來感染該開發者其他可操作的套件,進一步擴散。
自動複製感染、滲透範圍擴及主流雲平台
研究人員指出,目前已知至少有 187 個 NPM 套件被沙蟲感染。沙蟲具備高度自我複製能力,可在極短時間內滲透整個 NPM 生態系統。CrowdStrike 獲知後也緊急下架受感染套件,試圖阻止病毒進一步擴散。
但這僅是表面現象。沙蟲同時也會嘗試取得開發者的 AWS、Azure、GCP、GitHub、NPM 等憑證,甚至可修改 GitHub Actions 的 CI/CD 自動化流程設定,進一步竊取執行期間的機密資訊。這代表,就算原始套件被移除,只要仍有開發者執行了被感染的 CI/CD 程式碼,病毒依舊可能再度活躍。
目前尚不清楚 CrowdStrike 或其他受害開發者的雲端服務憑證是否遭竊,相關廠商也尚未對此部分公布具體細節。
資安建議:近期使用 NPM 的開發者務必立即檢查
本次供應鏈攻擊事件凸顯開源生態的潛在風險。只要有一位開發者電腦中仍保有病毒,沙蟲就可能繼續藏匿與擴散,形成持續性威脅。
如果你近期有使用 NPM 安裝套件,建議:
-
檢查最近安裝的套件是否為受影響清單中之一
-
檢查系統是否存在異常的 CI/CD 流程異動
-
對本機存取憑證、金鑰等資料進行清查與更新
完整受感染套件清單可參考安全團隊提供的文章:https://www.koi.security/blog/shai-hulud-npm-supply-chain-attack-crowdstrike-tinycolor
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!