行业新闻与博客

Koi Security 的研究人员发现了一个自 2025 年 8 月以来持续进行的 NPM 凭证窃取活动。

研究人员将这款恶意软件命名为 PhantomRaven，它正在积极窃取全球开发者的 NPM 令牌、GitHub 凭据和 CI/CD 机密信息，目前已有 126 个 NPM 包被感染，总下载量达 86,434 次。

截至 10 月 29 日Koi Security 发布报告时，至少有 80 家公司仍在运营。

虽然报告称攻击者的基础设施“出奇地粗糙”，因为简单的分析就让研究人员锁定了一个人，但他们评论说，其传播机制“很巧妙”。

远程动态依赖技术详解

攻击者利用远程动态依赖项 (RDD) 将恶意代码隐藏在通过 HTTP URL 在安装时获取的外部托管软件包中，通过伪装成干净、无依赖项的软件包来绕过 NPM 的安全扫描和依赖项分析。

该技术通过仅在受害者运行 NPM install 时加载有效载荷来规避检测，它从攻击者控制的服务器而不是 NPM 注册表中拉取有效载荷。

由于每次安装时都会从攻击者控制的服务器重新获取依赖项，攻击者可以动态地定制有效载荷，向研究人员提供干净的代码，向高价值目标提供延迟恶意软件，甚至进行地理围栏攻击，而 NPM 的无缓存设计确保受害者始终获得最新（也是最危险的）版本。