在現代的軟體開發流程中,我們習慣依賴大量的開源套件來加速開發。然而,這種依賴也創造了供應鏈攻擊(Supply Chain Attack)的機會。所謂供應鏈攻擊,是指攻擊者不直接攻擊你的伺服器,而是將惡意程式碼植入你所信任的第三方套件中,讓你在執行安裝指令時,不自覺地將病毒下載到自己的開發環境或生產伺服器上。
最近在 PHP 的套件管理平台 Packagist 上發現了一次相當巧妙的協同攻擊,這次攻擊影響了 8 個套件,其核心手法在於利用了跨生態系(Cross-ecosystem)的盲點。
隱蔽的植入手法:跨越 PHP 與 JavaScript
通常對於 PHP 開發者或安全掃描工具來說,檢查 Packagist 套件時會重點關注 composer.json 這個定義依賴關係的設定檔。然而,這次的攻擊者採取了不同的策略:他們沒有在 composer.json 中加入惡意代碼,而是將惡意指令植入在 package.json 中。
package.json 是 Node.js 生態系的設定檔。許多現代的 PHP 專案為了處理前端 CSS 或 JavaScript 的編譯,會同時安裝 Node.js 構建工具。攻擊者正是利用這一點,將惡意程式碼放在 package.json 的 postinstall 鉤子(Lifecycle Hooks)中。postinstall 是一種自動化機制,當套件安裝完成後,npm 或 yarn 會自動執行該區塊定義的指令。
這種做法之所以危險,是因為許多安全審查流程會假設 PHP 套件只會影響 PHP 環境,進而忽略了隨附的 JavaScript 設定檔,導致惡意指令在開發者執行 npm install 或在 CI/CD 流程構建時被悄悄觸發。
惡意程式的執行流程
一旦觸發了 postinstall 腳本,該惡意程式會執行以下步驟:
首先,它會從 GitHub Releases 的特定 URL 下載一個針對 Linux 系統的二進位執行檔(Binary)。
其次,它將該檔案儲存在 /tmp/.sshd 這種看似系統路徑的隱蔽資料夾中,並使用 chmod 指令授予所有使用者執行權限。
最後,它會將該程式在背景執行,使其在過程中不會對開發者產生明顯的干擾。
為了增加隱蔽性,這個安裝腳本還採取了禁用 TLS 驗證(TLS Verification,即跳過 SSL 憑證檢查)以及抑制錯誤訊息的手段,確保下載過程即使遇到網路問題也不會彈出警報引起注意。
偽裝與影響範圍
這次攻擊下載的惡意檔案被命名為 gvfsd-network。這是一個非常狡猾的命名方式,因為 gvfsd-network 在 Linux 中確實是一個與 GNOME 虛擬檔案系統(GVfs)相關的合法守護進程(Daemon),負責管理網路共享。對於不熟悉 Linux 底層運作的工程師來說,即使在行程管理工具中看到這個名稱,也可能以為是系統正常運作的一部分。
目前雖然該 GitHub 帳號已被移除,導致無法分析該二進位檔的最終目的(例如是竊取環境變數、建立後門還是挖礦),但單從安裝腳本就能判定這是一個嚴重的遠端程式碼執行(Remote Code Execution, RCE)漏洞。
除了 Packagist 套件,安全公司 Socket 還在 GitHub 上發現了 777 個檔案包含相同的惡意載荷,甚至有些被植入了 GitHub Actions 的工作流(Workflow)中。這意味著攻擊者不只依賴 npm 安裝觸發,還嘗試在自動化部署流程中直接執行攻擊。
給工程師的實務建議
這次事件提醒我們,安全檢查不能只針對單一語言或單一工具。如果你的專案是混合語言開發(例如 PHP + JS),請務必檢查所有設定檔的生命週期鉤子(如 postinstall, preinstall)。
對於企業級開發,建議採取以下防禦措施:
第一,使用 Lock 檔(如 composer.lock 或 package-lock.json)並在 CI/CD 中使用凍結安裝指令,避免在構建時自動更新到未經審核的新版本。
第二,限制構建環境的網路權限,禁止 CI/CD 伺服器在構建過程中隨意從外部未知域名下載執行檔。
第三,定期審視依賴套件的來源與更新紀錄,對於突然變更構建腳本的套件保持高度警覺。
來源:thehackernews.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。