行業新聞與部落格

Koi Security 的研究人員發現了一個自 2025 年 8 月以來持續進行的 NPM 憑證竊取活動。

研究人員將這款惡意軟體命名為 PhantomRaven，它正在積極竊取全球開發者的 NPM 令牌、GitHub 憑據和 CI/CD 機密資訊，目前已有 126 個 NPM 包被感染，總下載量達 86,434 次。

截至 10 月 29 日Koi Security 釋出報告時，至少有 80 家公司仍在運營。

雖然報告稱攻擊者的基礎設施“出奇地粗糙”，因為簡單的分析就讓研究人員鎖定了一個人，但他們評論說，其傳播機制“很巧妙”。

遠端動態依賴技術詳解

攻擊者利用遠端動態依賴項 (RDD) 將惡意程式碼隱藏在透過 HTTP URL 在安裝時獲取的外部託管軟體包中，透過偽裝成乾淨、無依賴項的軟體包來繞過 NPM 的安全掃描和依賴項分析。

該技術透過僅在受害者執行 NPM install 時載入有效載荷來規避檢測，它從攻擊者控制的伺服器而不是 NPM 登錄檔中拉取有效載荷。

由於每次安裝時都會從攻擊者控制的伺服器重新獲取依賴項，攻擊者可以動態地定製有效載荷，向研究人員提供乾淨的程式碼，向高價值目標提供延遲惡意軟體，甚至進行地理圍欄攻擊，而 NPM 的無快取設計確保受害者始終獲得最新（也是最危險的）版本。