【安全资讯】供应链攻击影响每周下载量达96万次的Gluestack NPM包

概要：

近日，一场严重的供应链攻击影响了NPM生态系统，16个流行的Gluestack 'react-native-aria'包被植入恶意代码，这些包每周下载量超过95万次。攻击者通过发布新版本的方式，将远程访问木马（RAT）植入这些包中，可能导致广泛的安全风险。网络安全公司Aikido Security发现了这一攻击，并指出恶意代码被高度混淆，难以在NPM代码查看器中察觉。

主要内容：

此次攻击始于6月6日美国东部时间下午4:33，攻击者发布了react-native-aria/focus包的新版本。随后，20个Gluestack react-native-aria包中有16个被攻陷。Aikido Security发现，恶意代码被注入到lib/index.js文件中，并通过大量空格填充以逃避检测。

恶意代码与上个月发现的另一个NPM攻击中的远程访问木马几乎相同。该木马会连接到攻击者的命令与控制服务器，接收并执行命令，包括更改目录、上传文件以及执行任意shell命令。此外，木马还通过修改Windows PATH环境变量进行路径劫持，以静默方式覆盖合法的python或pip命令。

Aikido Security研究员Charlie Eriksen已尝试通过GitHub问题联系Gluestack，但尚未收到回应。此次攻击可能与本周早些时候其他四个NPM包的攻陷事件有关。由于这些包的广泛使用，此次供应链攻击可能对全球开发者社区造成严重影响。