亚马逊近日爆出开源注册表史上规模空前的恶意软件包泛滥事件,引发全球安全社区高度关注。据亚马逊安全团队披露,通过Amazon Inspector在10月下旬例行扫描时发现异常,截至11月12日已累计识别出超过15万个恶意npm软件包,涉及多个被攻陷的开发者账号。这些恶意包采用隐蔽的自我复制代码,巧妙关联去中心化协议tea.xyz的代币激励机制,通过自动化发布大量低质量软件包为攻击者赚取TEA代币。
研究人员发现,这些恶意包内部嵌入了特殊的tea.yaml文件,内含指向攻击者钱包的加密信息。当用户下载这些恶意包时,会在不知不觉中为攻击者”挖矿”,形成典型的”挖矿即服务”攻击模式。虽然攻击者并未在包内植入窃密或勒索程序,但数以万计的无效软件包已严重占用云存储资源与网络带宽,更对开源生态的信任体系造成重大损害。
亚马逊安全团队表示,此次事件暴露出开源软件供应链防护的严重短板。目前亚马逊已与OpenSSF(开源软件安全基金会)展开紧急协作,共同制定应对方案。双方呼吁业界加强软件物料清单(SBOM)的标准化应用,完善持续集成/持续部署(CI/CD)流程中的隔离机制,并建立更严格的第三方包审核机制。这一事件再次敲响警钟,提醒所有开发者必须提升供应链安全意识,避免成为恶意攻击者的牺牲品。