惡意npm套件竊取加密金鑰CI金鑰和API Tokens

網路安全研究人員揭露類似Shai-Hulud供應鏈蠕蟲攻擊,利用19 個惡意npm套件叢集來竊取憑證和加密貨幣金鑰。Socket安全公司將此攻擊命名為SANDWORM_MODE。與先前的Shai-Hulud攻擊一樣,嵌入在這些套件中的惡意程式碼能夠從開發者環境中竊取系統資訊、存取tokens、環境金鑰和API金鑰,並透過濫用被盜的npm 和GitHub身分自動傳播,從而擴大其影響範圍。樣本保留Shai-Hulud 的典型特徵,並增加GitHub API資料外洩(DNS回傳)、hook-based持久化、SSH傳播回傳、針對AI編碼助手的嵌入式提示注入MCP 伺服器注入以及LLM API金鑰竊取等功能。

以下列出official334和javaorg發佈npm的軟體包:

  • claud-code@0.2.1
  • cloude-code@0.2.1
  • cloude@0.3.0
  • crypto-locale@1.0.0
  • crypto-reader-info@1.0.0
  • detect-cache@1.0.0
  • format-defaults@1.0.0
  • hardhta@1.0.0
  • locale-loader-pro@1.0.0
  • naniod@1.0.0
  • node-native-bridge@1.0.0
  • opencraw@2026.2.17
  • parse-compat@1.0.0
  • rimarf@1.0.0
  • scan-store@1.0.0
  • secp256@1.0.0
  • suport-color@1.0.1
  • veim@2.46.2
  • yarsg@18.0.1

此外,還發現不包含任何惡意功能的隱藏軟體包:

  • ethres
  • iru-caches
  • iruchache
  • uudi

這些軟體包的傳播方式超越npm傳播,包含一個惡意GitHub Action,用於收集CI/CD金鑰並透過HTTPS協定(DNS 回傳機制)將其洩露。此外,還包含一個破壞性行程,一旦失去對GitHub和 npm存取權限,就會觸發主目錄抺除,從而起始到終止程序的作用。此擦除功能預設為關閉狀態。該惡意軟體的另一個重要組成部分是McpInject模組,專門針對AI編碼助理,透過部署惡意模型上下文協定 (MCP) 伺服器並將其注入到其工具配置中。該MCP伺服器偽裝成合法的工具提供商,並註冊了三個看似無害的工具,每個工具都嵌入一個提示注入程序,用於讀取~/.ssh/id_rsa、~/.ssh/id_ed255519、~/.aws/credentials、~/.npmrc 和.env檔案的使用者端內容,並將這些內容暫存。此模組的目標是Claude Code、Claude Desktop、Cursor、Microsoft Visual Studio Code (VS Code) Continue和Windsurf。還竊取九個大型語言模型 (LLM)提供者的API金鑰:Anthropic、Cohere、Fireworks AI、Google、Grok、Mistral、OpenAI、Replicate 和 Together。此外,有效載荷包含一個多態引擎,該引擎配置為呼叫本地端 Ollama實例及其DeepSeek Coder模型,以重命名變數、重寫控制流、插入垃圾程式碼並對字串進行編碼,從而逃避偵測。雖然該引擎在目前檢測到的軟體包中處於停用狀態,但該功能的加入表明駭客計劃在未來發布更多版本的惡意軟體。

整個攻擊鏈分為兩個階段:第一階段元件捕獲憑證和加密貨幣金鑰,然後載入第二階段,該階段隨後從密碼管理器中更深入地竊取憑證,進行蠕蟲式傳播、MCP注入和完全資料竊取。第二階段要等到48小時後才會啟動(每台機器最多會有48小時的額外延遲)。

已安裝上述任何軟體包的使用者立即將其移除,輪換npm/GitHub Tokens和CI金鑰,並檢查所有package.json、lockfiles 和.github/workflows/目錄,以防出現任何意外更改。Socket:一些功能標誌和防護措施仍然表明駭客正在迭代改進功能(某些構建中禁用破壞性行程或多態性重寫的開關)。然而,相同的蠕蟲程式碼出現在多個域名搶注軟體包和發布者別名中,這表明是故意派送,而非意外發布。破壞性和傳播行為仍然真實存在且風險極高,防御者應將這些軟體包視為主動入侵風險,而非良性測試工件。

Veracode和JFrog揭露另外兩個惡意npm套件,分別是名為buildrunner-dev和eslint-verify-plugin的惡意套件,這兩個套件傳播針對Windows、macOS和Linux系統的遠端存取木馬 (RAT)。 buildrunner-dev部署.NET惡意軟體是Pulsar RAT,這是一款開源 RAT,透過託管在i.ibb[.]co上的PNG圖片進行傳播。另一方面,JFrog:eslint-verify-plugin偽裝成合法的ESLint工具,同時部署針對 macOS和Linux環境的複雜多階段感染鏈。在Linux系統上,該軟體包會部署一個用於Mythic C2框架的Poseidon代理程式。能夠實現多種後滲透功能,包括檔案操作、憑證竊取和橫向移動。macOS 感染序列會執行Apfell(macOS的 JavaScript自動化 (JXA)代理程式),以進行廣泛的資料收集並建立具有管理員權限的新macOS使用者。

駭客竊取部分資料如下:

  • 系統資訊
  • 透過偽造密碼對話框取得的系統憑證
  • Google Chrome瀏覽器書籤
  • 剪貼簿內容
  • 與iCloud鑰匙圈關聯的檔案以及Chrome Cookie、登入資料和書籤
  • 螢幕截圖
  • 檔案元資料

JFrog表示:eslint-verify-plugin軟體包就是一個直接的例子,展示惡意npm軟體包如何從簡單的安裝hook升級到完全系統入侵。駭客通過偽裝成合法工具,成功地隱藏多階段的感染鏈。此外,Checkmarx也發布一份報告,指出名為solid281的惡意VS Code擴充功能。該擴充功能偽裝成官方的Solidity擴充程序,但隱藏著一些功能,可以在應用程式啟動時自動執行高度混淆的載入器,並在Windows系統上安裝ScreenConnect,在macOS和Linux系統上安裝Python反向shell。Checkmarx:Solidity開發者似乎是特定的攻擊目標,包括一些攻擊活動使用偽造的Solidity擴展程序來安裝ScreenConnect,然後部署後續的有效載荷。

本文參考自:https://thehackernews.com/2026/02/malicious-npm-packages-harvest-crypto.html