开源供应链攻击持续发酵，多个软件包仓库内藏恶意组件

正文

请到「今天看啥」查看全文

攻击者通过修改网络端点，将所有Telegram消息收发请求导向硬编码服务器（"rough-breeze-0c37.buidanhnam95.workers[.]dev"），使其成为受害者与Telegram API之间的中继站，同时秘密收集敏感数据。

由于该恶意软件未设置地域限制，研究人员推测攻击者只是借越南封禁Telegram之机，以代理工具为幌子分发伪造组件。"这次行动展示了威胁分子如何快速利用地缘政治事件发动定向供应链攻击。"Boychenko强调。

Part 03

破坏性npm组件与加密货币窃取器

Socket还发现名为"xlsx-to-json-lh"的npm组件通过仿冒合法工具"xlsx-to-json-lc"实施攻击。该组件在被导入时会触发恶意载荷，自2019年2月发布后已被下架。

安全研究员Kush Pandya指出："该组件包含可建立持久C2连接的隐藏载荷，触发后会无预警删除整个项目目录。"具体而言，当C2服务器发出法语指令"remise à zéro"（意为"重置"）时，将删除源代码、版本控制数据、配置文件及所有项目资产。

另一组npm组件（pancake_uniswap_validators_utils_snipe等）则使用混淆JavaScript代码窃取受害者以太坊或BSC钱包中80%-85%的资金。这些由@crypto-exploit账号上传的组件累计下载量超2100次，现已被移除。

Part 04

Pypl组件瞄准Solana生态

PyPI仓库中也发现了针对Solana生态的恶意组件，可窃取私钥和源代码。值得注意的是，"semantic-types"组件在2024年12月22日初次上传时是良性的，但在2025年1月26日的更新中植入了恶意载荷。

部分PyPI组件通过"猴子补丁"技术，在运行时修改Solana密钥生成方法而不改动原始代码。攻击者cappership使用精心编写的README文件并链接至GitHub仓库以增强可信度。

"每次生成密钥对时，恶意软件都会捕获私钥。"Boychenko解释称，"随后使用硬编码的RSA-2048公钥加密，并以Base64编码后通过Solana Devnet交易发送给攻击者。"

请到「今天看啥」查看全文