npm 攻击：黑客如何绕过软件包真实性验证

5月19日深夜，攻击者在 npm 注册表发布了633个恶意软件包版本，成功通过 Sigstore 真实性验证。此次攻击通过窃取维护者账户实现，使攻击者能够生成有效的签名证书。虽然 Sigstore 正确确认软件包在 CI 环境中构建，但无法区分发布者是合法开发者还是使用窃取凭据的威胁者。

同时，针对 VS Code 热门扩展 Nx Console 的攻击也被发现，该扩展安装量超过220万次。在恶意版本发布的40分钟内，已自动更新至6000名用户。恶意代码收集了 Claude Code 配置、AWS 令牌、GitHub 和 npm 令牌、1Password 存储内容及 Kubernetes 凭据。研究人员将此次攻击归因于以经济利益为动机的团队 TeamPCP（化名 Mini Shai-Hulud）。

Endor Labs、Socket、StepSecurity 等公司的专家识别出七种在攻击中被利用的关键漏洞：npm 软件包来源伪造、VS Code 扩展凭据窃取、MCP 服务器自动执行、CI/CD 代理注入、代理框架中的代码执行、IDE 数据泄露及员工对 AI 服务的失控使用。AI 驱动的编码工具（如 Claude Code 和 GitHub Copilot）存在特别高的风险，因其可在无额外检查的情况下自动执行代码。

分析师报告称，针对开发者凭据窃取的黑客团队活动激增。根据 CrowdStrike 报告，STARDUST CHOLLIMA 团队在2025年末针对金融机构的攻击频率增长三倍，利用带有虚假技术任务的网络钓鱼活动及合成视频通话环境。主要目标包括 GitHub 令牌、npm 密钥、AWS 密钥及 CI/CD 机密。

为降低风险，专家建议：对高影响力软件包发布启用双因素认证、限制企业环境中 AI 工具的使用，并审计所有具有终端或文件系统访问权限的 IDE 扩展。应特别关注 CI/CD 管道，其中 AI 代理可能处理来自拉取请求评论的恶意指令。