研究人员近日预警一款新型npm蠕虫正活跃于开发者生态,该恶意软件可通过恶意包渗透CI流水线与AI编码工具,不仅能窃取项目机密、利用CI系统跨项目传播,还内置休眠状态的毁灭性数据擦除机制,给企业开发链安全带来全新挑战。
这款蠕虫以恶意npm包为载体,通过伪装成常用工具包的方式,诱导开发者或AI编码工具引入依赖。一旦恶意包被安装,它会立即启动机密窃取机制,扫描并收集开发环境中的API密钥、代码仓库令牌、CI流水线配置等敏感信息。
更危险的是,该蠕虫能武器化CI系统——利用CI流水线拥有的项目操作权限,将恶意代码注入其他关联项目,实现跨项目自动传播。这种扩散方式让攻击范围呈指数级扩大,可能在企业内部的多个开发项目中迅速蔓延。
登录后解锁全文,体验收藏、点赞、评论等完整功能
立即登录
滇公网安备 53252802528133号