IT之家 11 月 17 日消息，亞馬遜 11 月 13 日披露了“開源注冊表歷史上規(guī)模最大的包泛濫事件之一”，但這次攻擊方式與以往投毒掛馬、竊取憑證、植入勒索軟件等手法不同，而是通過虛擬代幣以實現(xiàn)牟利。

Amazon Inspector 安全研究人員在全新的檢測規(guī)則與 AI 協(xié)助下，于 10 月下旬首次發(fā)現(xiàn)可疑的 npm 軟件包，并在 11 月 7 日前已標(biāo)記出數(shù)千個。到 11 月 12 日，團隊在來自“多個”開發(fā)者賬號中累計發(fā)現(xiàn)超過 15 萬個惡意軟件包。

這些惡意包被指與一場協(xié)調(diào)實施的 tea.xyz 代幣挖取活動相關(guān)。tea.xyz 是一個去中心化協(xié)議，旨在通過 TEA 代幣獎勵開源開發(fā)者的貢獻，該代幣用于激勵、質(zhì)押與治理等生態(tài)用途。

據(jù)介紹，攻擊者在 npm 注冊表中注入了超過 15 萬個惡意包，這些惡意包含有自我復(fù)制代碼，能夠讓被感染的軟件包自動生成并發(fā)布新包，從而借助合法開源開發(fā)者的生態(tài)獲得加密貨幣獎勵。IT之家從亞馬遜獲悉，相關(guān)代碼中還包含指向攻擊者控制的錢包地址的 tea.yaml 文件，而用戶在使用這些軟件包時完全不知情地為攻擊者“充值”。

亞馬遜安全研究人員警告，此類攻擊不僅消耗注冊表資源、降低開源社區(qū)信任度，還可能激發(fā)類似的金融驅(qū)動型自動化包生成攻擊。

亞馬遜正與開放源碼安全基金會（OpenSSF）合作，對相關(guān)包采取響應(yīng)措施，并將新發(fā)現(xiàn)的惡意包提交至 OpenSSF 的惡意包倉庫。據(jù)稱，每個被提交的軟件包平均在 30 分鐘內(nèi)都會獲得 MAL-ID 標(biāo)識。

AWS 的研究人員 Chi Tran 和 Charlie Bacon 表示：“此事件顯示了威脅形態(tài)的持續(xù)演變，金融激勵正在以前所未有的規(guī)模推動注冊表污染，也凸顯了業(yè)界與社區(qū)協(xié)作在保護軟件供應(yīng)鏈中的關(guān)鍵性。”

Tran 和 Bacon 指出，盡管這次攻擊未使用竊密或其他惡意程序，但仍帶來多方面風(fēng)險，包括向 npm 注冊表大量灌入低質(zhì)量、無功能的軟件包，侵蝕本已承受巨大安全壓力的開源社區(qū)信任。此外，注冊表的基礎(chǔ)設(shè)施、帶寬與存儲會被這些以牟利為目的的軟件包占用，擠壓真正貢獻者所需的資源。

他們也警告稱，“這場活動的成功可能會激發(fā)類似方式對其他基于獎勵的系統(tǒng)進行濫用，使以獲利為目的的自動化包生成行為被進一步常態(tài)化。”

作為供應(yīng)商，亞馬遜建議防御者使用其工具檢查開發(fā)環(huán)境中是否存在與 tea.xyz 代幣挖取活動相關(guān)的軟件包。但移除低質(zhì)量、不具功能的軟件包、加固供應(yīng)鏈，包括使用軟件物料清單（SBOM）以及隔離 CI / CD 環(huán)境，始終是提升安全性的通用做法。