新的供应链攻击针对npm和PyPI生态系统，周下载量近百万次

Aikido Security的研究人员发现了一种针对 NPM 的新型供应链攻击，危及了 16 个流行的 Gluestack“react-native-aria”包，每周下载量超过 95 万次。

未经授权的访问随后可用于执行各种后续操作，例如挖掘加密货币、窃取敏感信息，甚至关闭服务。

Aikido 表示，第一次软件包泄露事件于格林威治标准时间 2025 年 6 月 6 日晚 9:33 被发现。

注入到软件包中的恶意代码与上个月另一个 npm 软件包“rand-user-agent”被攻陷后传播的远程访问木马类似，这表明该活动背后可能有相同的威胁组织。

该木马是更新版本，支持两个新命令来收集系统信息（“ss_info”）和主机的公共IP地址（“ss_ip”）。

项目维护人员已撤销访问令牌，并将受影响的版本标记为已弃用。建议可能下载了恶意版本的用户回滚到安全版本，以减轻任何潜在威胁。

该公司在一份声明中表示：“潜在影响规模巨大，恶意软件的持久机制尤其令人担忧——即使在维护人员更新软件包后，攻击者仍然可以访问受感染的机器。”

npm 上发现的恶意软件包释放出破坏性功能

Socket 发现了两个恶意 npm 包 - express-api-sync 和 system-health-sync-api - 它们伪装成合法实用程序，但植入了可以删除整个应用程序目录的擦除器。

两个软件包中的第一个是 express-api-sync，它声称是一个用于在两个数据库之间同步数据的 Express API。然而，一旦毫无戒心的开发人员安装并添加到他们的应用程序中，它就会在收到带有硬编码密钥“DEFAULT_123”的 HTTP 请求时触发恶意代码的执行。

收到密钥后，它会执行 Unix 命令“rm -rf *”以递归方式删除当前目录及以下的所有文件，包括源代码、配置文件、资产和本地数据库。

另一个软件包则更加复杂，既可以充当信息窃取程序，又可以充当擦除器，同时还可以根据操作系统是 Windows（“rd /s /q .”）还是 Linux（“rm -rf *”）来修改其删除命令。

详见技术报告：

https://www.aikido.dev/blog/supply-chain-attack-on-react-native-aria-ecosystem

新闻链接：

https://thehackernews.com/2025/06/new-supply-chain-malware-operation-hits.html