npm 蠕虫窃取加密密钥,针对 19 个软件包

一个名为SANDWORM_MODE的自我复制npm蠕虫病毒攻击了19个以上的软件包,从开发环境中窃取私钥、BIP39助记词、钱包文件和LLM API密钥。

一场实时的npm供应链攻击正在席卷开发者环境。Socket威胁研究团队发现了被追踪为SANDWORM_MODE的攻击,这是一个自我复制的蠕虫病毒,传播至少19个恶意npm软件包,与两个发布者别名相关联。正如 SocketSecurity在X上标记的,这是一场活跃的供应链攻击,窃取开发和CI机密,注入GitHub工作流程,毒化AI工具链并收集LLM API密钥。

该活动直接借鉴自Shai-Hulud蠕虫病毒家族。私钥首当其冲。没有时间限制,没有延迟。加密货币工件在导入时被发现后,会在任何其他有效载荷阶段触发之前,立即通过专用的流失端点被窃取。

你应该知道:钱包安全威胁正在升级 必读: Trust Wallet安全黑客攻击:如何保护你的资产

这个蠕虫病毒如何首先获取你的私钥

该蠕虫病毒采用两阶段设计。第一阶段在导入时立即触发,仅通过文件读取收集npm令牌、GitHub令牌、环境机密和加密货币密钥。没有shell执行,没有噪音。BIP39助记词、以太坊私钥、Solana字节数组、比特币WIF密钥和xprv字符串都在第一次扫描中被清除。

加密货币密钥通过HTTPS POST立即离开机器,发送到位于pkg-metrics[.]official334[.]workers[.]dev/drain的Cloudflare Worker。这发生在任何时间门检查之前。在第二阶段甚至加载之前。

第二阶段设有48小时延迟,由主机名和用户名的MD5哈希值派生。它深入更多:通过Bitwarden、1Password和LastPass CLI的密码管理器,包括Apple Notes和macOS Messages的本地SQLite存储,以及对钱包文件的完整文件系统扫描。在CI环境中,该门完全消失。完整的有效载荷在GITHUB_ACTIONS、GITLAB_CI、CIRCLECI、JENKINS_URL和BUILDKITE上触发,完全无需等待。

根据 SocketSecurity在X上的消息,该蠕虫病毒还注入GitHub工作流程并毒化AI工具链,详细信息已在Socket的 完整技术披露中得到确认。

同样值得阅读: 当局冻结交易后,价值2,100万美元的被查扣比特币已归还

AI编码工具也遭受严重打击

三个软件包冒充Claude Code。一个针对OpenClaw,这是一个在GitHub上获得超过21万颗星的AI代理。该蠕虫病毒的McpInject模块将恶意MCP服务器部署到磁盘上的Claude Code、Claude Desktop、Cursor、VS Code Continue和Windsurf配置中。每个都获得一个指向隐藏恶意服务器的虚假工具条目。

该服务器携带嵌入式提示注入,指示AI助手在每次工具调用之前静默读取SSH密钥、AWS凭证、npm令牌和环境机密。模型从不告诉用户。该注入明确阻止其这样做。

九个LLM提供商成为API密钥收集的目标:OpenAI、Anthropic、Google、Groq、Together、Fireworks、Replicate、Mistral和Cohere。从环境变量和.env文件中提取密钥,在窃取之前根据已知格式模式进行验证。

窃取通过三个通道级联运行。首先通过HTTPS发送到Cloudflare Worker,然后使用双重base64编码进行身份验证的GitHub API上传到私有存储库,然后通过base32编码查询进行DNS隧道传输到freefan[.]net和fanfree[.]net。由"sw2025"种子的域生成算法在所有其他方法失败时提供跨十个顶级域的后备。

值得一看: Glassnode标记BTC需求枯竭

该活动背后的两个发布者别名是official334和javaorg。19个已确认的恶意软件包包括[email protected]、[email protected]、[email protected]、[email protected]、[email protected]和[email protected]等。另外四个休眠软件包(ethres、iru-caches、iruchache和uudi)尚未显示恶意有效载荷。

npm已删除恶意软件包。GitHub关闭了威胁行为者的基础设施。Cloudflare撤下了workers。但无论如何,防御者现在需要采取行动。

如果这些软件包中的任何一个在你的环境中运行,请将该机器视为已受损。轮换npm和GitHub令牌,轮换所有CI机密,审核.github/workflows/中序列化${{ toJSON(secrets) }}的pull_request_target添加。通过运行git config –global init.templateDir检查全局git hook模板设置。审查AI助手配置中是否有意外的mcpServers条目。使用deepseek-coder:6.7b的休眠多态引擎嵌入在蠕虫病毒中,并在此版本中关闭,这意味着未来的变体可能会重写自身以逃避检测。

代码中还有一个死亡开关。现在已禁用。触发时,它会运行find ~ -type f -writable并粉碎主目录中的每个可写文件。操作者仍在迭代中。

npm蠕虫病毒窃取加密货币密钥,针对19个软件包的帖子首次出现在Live Bitcoin News上。