【安全资讯】npm供应链蠕虫攻击开发者环境，窃取凭证并自我传播

概要：

近日，一场新型npm供应链蠕虫攻击席卷开发者环境，通过恶意包传播并窃取敏感数据。该攻击与上月TeamPCP组织的CanisterWorm活动高度相似，利用自传播机制在开发者机器间扩散，威胁云服务、加密货币钱包及LLM平台凭证安全。

主要内容：

安全公司Socket和StepSecurity发现，名为CanisterWorm的恶意软件变种感染了多个与Namastex Labs相关的npm包，包括@automagik/genie、pgserve等。攻击者利用安装时执行、凭证窃取、离主机外泄及基于ICP容器的基础设施，实现自我传播。恶意代码从开发者环境中窃取云服务、CI/CD系统、Kubernetes和Docker配置的凭证，以及MetaMask和Phantom等浏览器扩展数据，并尝试盗取Solana、Ethereum、Bitcoin等本地加密货币钱包文件。

该蠕虫还具备提取npm令牌、识别可发布包、注入新载荷并重新发布恶意包的能力。若发现PyPI凭证，则采用类似方法上传恶意Python包。攻击者使用硬编码的ICP容器ID cjn37-uyaaa-aaaac-qgnva-cai进行数据外泄，并引用TeamPCP/LiteLLM方法进行.pth文件注入。

此次攻击标志着供应链攻击的新演进，从单一窃密转向自我复制和传播，将单个受感染开发者环境转化为更多包被攻陷的起点。目前，恶意版本仍在发布中，全面影响尚在调查。