【安全资讯】一年期供应链攻击：恶意NPM包危害加密货币钱包

概要：

在网络安全领域，供应链攻击日益成为严重威胁。Checkmarx安全研究团队揭示了一起持续一年之久的供应链攻击，涉及恶意NPM包@0xengine/xmlrpc。该事件不仅影响了开发者的信任，也对加密货币钱包造成了重大损害，凸显了软件供应链中的持续脆弱性。

主要内容：

该恶意包最初作为合法的XML-RPC实现于2023年10月发布，但在1.3.4版本后逐渐演变为复杂的网络威胁，结合了加密货币挖矿和数据窃取。研究报告指出，该包在其生命周期内进行了16次更新，最近一次更新在2024年10月，持续的更新模式掩盖了其恶意功能。

恶意代码隐藏在validator.js文件中，仅在特定条件下激活，成功避开了NPM生态系统的检测。攻击者通过两种方式分发恶意包：直接NPM安装和在合法项目中作为依赖项嵌入。攻击一旦触发，恶意软件便开始多阶段攻击，定期收集SSH密钥、bash历史记录和环境变量，并通过Dropbox和file.io API每12小时外泄一次。

此外，攻击还利用XMRig进行Monero挖矿，目标是Linux系统。到2024年10月，攻击者的Monero钱包已连接68个活跃矿工。该恶意软件采用复杂的规避技术，在检测到用户活动时暂停操作，并伪装成合法的系统服务，确保长期控制。研究人员警告，开发者必须加强安全措施，包括对所有开源依赖项进行彻底审查和定期审计包更新，以防范此类攻击。