近日,网络安全领域再次拉响警报——黑客将目标锁定在GitHub上的自动化安装脚本,已有超过700个公开代码库遭到感染。Socket安全团队于6月7日发布深度分析报告,详细披露了此次攻击的完整手法。

攻击手法虽不复杂,却极具隐蔽性。黑客首先锁定部分GitHub上游代码仓库,暗中篡改package.json中的自动安装脚本。开发者一旦像往常一样执行依赖安装,该脚本便会自动触发,无痕下载恶意木马。随后,攻击者即可乘虚而入,窃取设备中的敏感数据,并进一步向更多下游项目扩散污染。
尤为值得警惕的是该木马的精妙伪装:它被写入/tmp/.sshd路径,刻意模仿合法SSH服务的进程名称。即便是粗心的开发者,甚至资深运维人员,在快速浏览进程列表时也很难第一时间察觉异常。
此类供应链投毒攻击之所以威胁巨大,根源在于“信任惯性”——开发者往往会默认自动安装流程安全可靠,极少逐行审查脚本内容。一旦上游仓库失守,所有依赖它的下游项目将面临全面沦陷的风险。Socket安全团队给出的建议清晰明确:切勿盲目信任任何第三方依赖包,应定期核查Composer包管理工具配置,并严格审计所有自动执行脚本,这才是抵御此类攻击的务实之举。
换个视角来看,此次事件再次为整个行业敲响警钟:在开源生态持续扩张的背景下,供应链安全已不再是大企业的专属课题。每一位参与代码复用的开发者,都应当提高对“自动安装”环节的警觉,把信任底线设得更高一些。
