行業新聞與博客

Koi Security 的研究人員發現了一個自 2025 年 8 月以來持續進行的 NPM 憑證竊取活動。

研究人員將這款惡意軟件命名為 PhantomRaven，它正在積極竊取全球開發者的 NPM 令牌、GitHub 憑據和 CI/CD 機密信息，目前已有 126 個 NPM 包被感染，總下載量達 86,434 次。

截至 10 月 29 日Koi Security 發佈報告時，至少有 80 家公司仍在運營。

雖然報告稱攻擊者的基礎設施“出奇地粗糙”，因為簡單的分析就讓研究人員鎖定了一個人，但他們評論説，其傳播機制“很巧妙”。

遠程動態依賴技術詳解

攻擊者利用遠程動態依賴項 (RDD) 將惡意代碼隱藏在通過 HTTP URL 在安裝時獲取的外部託管軟件包中，通過偽裝成乾淨、無依賴項的軟件包來繞過 NPM 的安全掃描和依賴項分析。

該技術通過僅在受害者運行 NPM install 時加載有效載荷來規避檢測，它從攻擊者控制的服務器而不是 NPM 註冊表中拉取有效載荷。

由於每次安裝時都會從攻擊者控制的服務器重新獲取依賴項，攻擊者可以動態地定製有效載荷，向研究人員提供乾淨的代碼，向高價值目標提供延遲惡意軟件，甚至進行地理圍欄攻擊，而 NPM 的無緩存設計確保受害者始終獲得最新（也是最危險的）版本。