安全研究人员挖出npm仓库里36个恶意包。这些包冒充Strapi CMS插件。开发者一装就中招。根据SafeDep分析,每个包只含三个文件:package.json、index.js和postinstall.js。没有描述、仓库或主页。全用3.6.8版本假装老牌社区插件。包名统一以strapi-plugin-开头,后接cron、database或server等词。官方Strapi插件都在@strapi/作用域下。四个傀儡账户umarbek1233、kekylf12、tikeqemif26和umar_bektembiev1在13小时内上传这些包。列表长长一串,从strapi-plugin-cron到strapi-plugin-blurhash。postinstall钩子一触发npm install就自动跑恶意码。权限跟安装用户一样。在CI/CD流水线或Docker里常拿root权。payload变迁明显。先用Redis本地实例搞远程码执行。注入crontab每分钟拉远程shell脚本。脚本写PHP webshell和Node.js反向shell进Strapi公共上传目录。还扫盘找Elasticsearch密钥和加密钱包种子短语。顺手偷Guardarian API模块。升级版加Docker容器逃逸。把shell payload甩主机外。直开Python反向shell听4444端口。通过Redis写反向shell触发器到node_modules。后期转反向shell加Redis执行文件。扫环境变量和PostgreSQL连接串。情报版拉Strapi配置、Redis INFO/DBSIZE/KEYS数据、网络拓扑、Docker/K8s密钥、加密私钥和钱包文件。用硬编码凭证连目标Postgres。查Strapi表挖钱包、交易、存款等加密模式。试连六个Guardarian库。暗示攻击者早握有数据。最终落脚持久植入针对prod-strapi主机。扫固定路径偷凭证开持久反向shell。SafeDep点破攻击路径:从Redis RCE和Docker逃逸起步。见招拆招转情报和数据库直连。收尾针对性凭证盗。加密味儿重。payload盯数字资产。硬编码库和主机名。疑云加密平台。BTC现报$67,051(24h +0.24%)。开发者装过这些包赶紧换所有凭证。假设已失守。
这类供应链攻击正野蛮生长。The Hacker News报道刚曝光这波。同期爆其他烂事。GitHub ezmtebo账户狂拉256个PR藏凭证外泄码。偷CI日志和PR评论。注临时workflow倒秘钥。绕pull_request_target闸。后台/proc扫10分钟。dev-protocol组织被劫推假Polymarket交易bot。带ts-bign、levex-refa等npm假包。偷钱包私钥、外泄文件、开SSH后门。levex-refa纯偷凭证。lint-builder装后门。ts-bign和big-nunber传导依赖。kubernetes-el仓库中Pwn Request漏洞。pull_request_target偷GITHUB_TOKEN。外泄CI/CD秘钥、涂鸦仓库、删文件。xygeni/xygeni-action用偷来的维护者权植反向shell。Xygeni后补安全控。npm mgc包被占四版1.2.1到1.2.4。下掉器辨OS拉Python木马或PowerShell WAVESHAPER.V2。跟Axios链攻击重叠。疑北韩UNC1069。express-session-js假冒express-session。下RAT连216.126.237[.]71用Socket.IO偷数据持持久。PyPI bittensor-wallet 4.0.2版解钱包时后门起。HTTPS/DNS/TLS隧道或DGA域外泄钥。pyronut假pyrogram。Telegram客户端一开隐秘后门。两攻击者账户遥控/e和/shell跑Python或shell。三款VS Code扩展solidity-macos/windows/linux。2018休眠到2026年3月25日醒。27,500次装后多级后门持久Windows/macOS。KhangNghiem/fast-draft多版0.10.89等拉Socket.IO RAT、信息偷、文件外泄、剪贴监控。Group-IB二月报告称供应链攻主导全球威胁。盯开源库、SaaS、扩展。单点爆成跨国大祸。npm PyPI变分发渠。偷维护权、蠕虫自动化。开发管变恶意码高速路。ETH现报$2,052(24h -0.04%)。开源生态雪上加霜。
开发者痛点直戳心窝。npm日装亿次。Strapi流行建头。谁不爱现成插件省事。攻击者钻空子。13小时36包上架。命名太像真货。postinstall无声无息。CI里root随手捞。Docker逃逸放大祸。加密项目首当其冲。payload专扫钱包种子、Guardarian库。prod-strapi主机暴露意图。换凭证是起步。最好审计node_modules。查postinstall痕迹。跑strace或审计日志溯源。Strapi官方早划清界。推@strapi/作用域。社区得醒醒。别贪快装不明包。npm安全扫描工具如Socket或Snyk早用上。仓库主盯依赖更新。开源供应链脆如纸。北韩、俄客、中国团轮番上。VS Code扩展装27,500次才拔。PR炸弹256个潜伏。教训血淋淋。项目方建SBOM清单。签二进制防篡改。CI限权最小化。加密圈更得警惕。钱包交易数据一丢全完蛋。XRP现报$1.31(24h -0.87%)。平台运维别掉链子。