网络安全公司Koi警告称,JavaScript生态系统主流包管理器(包括NPM、PNPM、VLT和Bun)存在的六项安全漏洞可能被利用来绕过供应链攻击防护机制。这些被统称为”PackageGate”的安全缺陷,可能导致攻击者隐藏在依赖包中的恶意代码被执行。
继Shai-Hulud和PhantomRaven等重大NPM供应链攻击事件后,各组织和开发者普遍采用两大防护机制:一是设置标志位阻止安装包时自动执行预装/安装/后装脚本;二是记录依赖树中每个包的版本及完整性哈希值,后续安装时进行哈希校验。
Koi指出,影响四大包管理器的六项PackageGate漏洞可绕过这些防护措施,实现完全远程代码执行(RCE),但各管理器的攻击手法存在差异:
• NPM中可通过包含恶意.npmrc文件的Git依赖实现RCE
• PNPM默认禁用的脚本防护仅适用于构建阶段,不适用于Git依赖处理
• VLT的压缩包解压操作存在路径遍历漏洞,可导致系统任意文件写入
• Bun的脚本执行白名单仅验证包名而非来源,攻击者可伪装合法包实现RCE
此外,Koi发现PNPM和VLT仅存储压缩包依赖的URL而缺乏完整性哈希验证,导致初始安装通过安全检查的压缩包可能在后续安装中被篡改注入恶意代码。”攻击者一旦将恶意包植入依赖树(即使嵌套多层),即可根据时间、IP地址等信号定向投递恶意负载,”Koi强调。
安全公司已向四家包管理器提交漏洞报告。PNPM、VLT和Bun均在数周内修复漏洞,其中PNPM漏洞编号为CVE-2025-69263和CVE-2025-69264。但NPM方面将该报告标记为”信息性说明”,认为相关功能按设计运行。Koi指出该安全风险真实存在,已观测到威胁行为体讨论利用恶意.npmrc文件的概念验证代码。
针对安全媒体询问,NPM母公司GitHub回应称,通过Git安装依赖包时信任整个代码库是预期设计。”我们正积极处理新报告的问题,NPM持续扫描注册表中的恶意软件。保障NPM生态系统安全需要集体努力,我们强烈建议项目采用可信发布、精细化访问令牌及强制双因素认证来加固软件供应链。GitHub持续投入加强NPM安全,近期已实施认证和令牌管理改进措施。”
消息来源: securityweek.com:
本文由 HackerNews.cc 翻译整理,封面来源于网络;
暂无评论内容