行業新聞與博客

一系列針對流行開源軟件包的引人注目的攻擊事件被發現，暴露出廣泛使用的軟件工具中惡意代碼滲透的風險越來越大。 

威脅者在與 rspack（JavaScript 打包程序）和 vant（用於移動 Web 應用的 Vue UI 庫）關聯的軟件包中植入了加密挖礦惡意軟件。這些工具每週從主流軟件包管理器 NPM 下載量達數十萬次。

據 rspack 維護人員稱，這些漏洞由 ReversingLabs 的安全研究人員發現，影響了 @rspack/core 和 @rspack/cli 版本 1.1.7。這些版本已被迅速刪除並替換為乾淨版本（1.1.8）。

同樣，vant 的受感染版本（從 2.13.3 到 4.9.14）也已通過無惡意軟件更新（版本 4.9.15）進行了修補。這些軟件包中使用的惡意代碼包括 XMRig 加密礦工，這是近期供應鏈攻擊 中反覆出現的工具。

一系列開源威脅

這些事件是開源軟件入侵趨勢的一部分。就在幾周前，惡意行為者 瞄準了 @lottiefiles/lottie-player，這是一個每週下載量超過 100,000 次的動畫插件，嵌入了竊取加密錢包的惡意軟件。另一次對 Solana 區塊鏈庫 的攻擊危及了用户錢包，而 ultralytics Python 包則被利用來分發 XMRig 加密礦工。

ReversingLabs 解釋説，rspack 和 vant 漏洞源於被盜的 NPM 令牌，攻擊者藉此上傳了受污染的版本。在 ultralytics 案例中，GitHub Actions Script Injection 和被盜的 PyPI API 令牌促成了攻擊。每起事件都顯示出一些明顯的跡象，例如混淆的代碼和與外部服務器的未經授權的通信。

發現並預防攻擊

差異分析在發現這些漏洞方面發揮了關鍵作用。通過比較乾淨版本和惡意版本，研究人員檢測到了新文件、混淆的 JavaScript 和可疑的外部 URL。 

ReversingLabs 軟件威脅研究員 Lucija Valentić 表示：“通過對兩個版本的軟件進行差異分析，差異策略可以檢測已知軟件供應鏈攻擊的行為和特徵變化，從而可能在攻擊發生之前避免它們。”

差異分析只是對抗此類攻擊的幾種方法之一。其他方法包括實施嚴格的訪問控制以防止未經授權的更改、定期掃描軟件依賴項以查找漏洞以及使用自動化工具監視軟件包更新中的可疑行為。