安全公司紧急警告：GitHub大规模供应链投毒已污染超七百个代码库

网络安全领域近期再现高危事件——攻击者利用GitHub上的自动化安装脚本发起大规模供应链投毒，已有超过700个公开代码库遭到污染。Socket安全团队于6月7日发布技术分析，完整还原了此次攻击的完整链路。

攻击路径设计精巧却隐蔽。黑客首先锁定部分GitHub上游代码仓库，篡改package.json中的自动安装脚本。当开发者执行常规依赖安装时，该脚本自动触发，在后台下载并植入恶意载荷。随后攻击者即可窃取设备中的敏感信息，并进一步渗透下游项目，形成连锁污染。

最值得警惕的是木马的伪装策略：恶意文件存储在/tmp/.sshd路径下，刻意模仿合法SSH服务进程名称。即便是资深运维人员，在快速浏览进程列表时也极难察觉异常。

此类供应链投毒之所以危害巨大，根源在于“信任惯性”——开发者普遍默认自动安装流程安全可靠，鲜少逐行审计脚本逻辑。一旦上游仓库沦陷，所有下游依赖项目几乎必然中招。Socket团队强调：切勿轻信任何第三方依赖包，务必定期审查Composer包管理配置，并对自动执行脚本进行审计。这才是抵御此类风险的核心防线。

从更宏观的视角看，此次事件再次警示：随着开源生态持续扩容，供应链安全已不再是大型企业的专属课题。每位参与代码复用的开发者，都应将“自动安装”环节的信任阈值提升至更高等级。

来源：互联网