网络安全研究人员在npm生态系统中发现了一种新的自传播蠕虫。该蠕虫被命名为CanisterSprawl,利用窃取的开发者令牌来入侵软件包并自动传播。Socket和StepSecurity警告称,该威胁已处于活跃状态,利用泄露的凭证感染代码仓库,并通过ICP容器窃取数据。
供应链中的自传播机制 🧬
该蠕虫通过窃取的npm凭证运作,使攻击者能够发布合法软件包的恶意版本。一旦安装,恶意代码会在开发者环境中搜索更多令牌,以感染新项目。ICP容器充当窃取数据的服务器。Socket和StepSecurity指出,这种传播是自动化的,如果不撤销受影响的令牌,可能会危及整个软件供应链。
你的npm令牌,邻居的万能钥匙 🔑
事实证明,将npm令牌留在公共仓库中,就像把车钥匙留在摇下车窗的车里。攻击者不仅自己进入,还会邀请整个街区使用你的车辆。CanisterSprawl并非普通蠕虫:它是那个在代码派对上不请自来的讨厌亲戚,偷走凭证后扬长而去。记住:如果你不轮换令牌,别人就会替你轮换。