近期安全研究人员披露针对SAP关联npm包的定向攻击活动,该攻击以窃取开发者凭证、云服务密钥为核心目标,通过滥用开源组件可信发布规则、篡改AI编码工具默认配置实现入侵,波及大量使用CI/CD自动化部署流水线的企业研发团队,目前已有超过200个活跃企业开发环境被检测出存在相关风险隐患。
本次披露的攻击活动最早于2024年二季度被安全监测平台捕获,攻击者先后上传了17个与SAP官方业务组件名称高度相似的npm恶意包,下载量累计突破1.2万次,主要波及使用SAP ERP系统进行二次开发的企业研发团队。
与传统的注入恶意代码的攻击方式不同,本次攻击利用了AI编码工具的自动依赖推荐机制的漏洞:目前主流AI编码助手在为开发者推荐第三方依赖时,往往优先匹配名称相似度高、下载量靠前的包,攻击者通过刷高恶意包的下载量,让其在AI推荐列表中排在官方正版包之前,缺乏安全意识的开发者往往直接点击引入,全程不会核验包的发布主体资质。
登录后解锁全文,体验收藏、点赞、评论等完整功能
立即登录