号“国家网络安全通报中心”25日发文称，主流JavaScript软件包管理平台npm遭供应链投毒攻击。

　　监测发现，全球主流JavaScript软件包管理平台npm遭“沙虫”供应链投毒攻击。攻击者攻陷了npm官方维护者账户，并在短时间内批量投放大量恶意软件包，涉及300余个独立程序包的600余个恶意版本，影响多个热门开源项目。

　　当开发者安装恶意依赖包后，程序会自动在本地主机、CI/CD流水线环境执行恶意代码，窃取GitHub Token、npm Token、云服务密钥、SSH私钥、Kubernetes凭据、数据库连接字符串等敏感信息。

　　此次投毒攻击具备极强蠕虫式自我与横向传播能力，攻击者可利用窃取的npm发布权限篡改和二次发布开发者名下的其他软件包，造成供应链风险持续扩散、危害持续升级。

　　由于恶意软件具备蠕虫式传播能力，可自动重新发布受害者维护的其他包，导致共享开发环境的其他用户及依赖同一维护者发布的其他软件包的用户也可能面临间接感染风险。

　　一是隔离风险设备。若本地设备近期安装过相关受影响的npm依赖，建议暂停项目运行，并断开可疑设备网络连接，防止恶意代码继续外联。

　　四是更换敏感凭证。及时更新GitHub Token、npm Token、云服务密钥、SSH私钥、数据库密码等各类密钥与令牌，对关联账号执行“退出全部设备”操作。

　　五是提升安全意识。安装npm第三方依赖前，应核验项目官方