Packagist 供應鏈攻擊事件(2026-05-25)

Socket 資安公司揭露針對 Packagist(PHP 套件庫) 的供應鏈攻擊,共 8 個套件受影響,上游 GitHub 儲存庫遭竄改,植入惡意指令碼以下載並執行 Linux 二進位惡意程式。

攻擊手法

惡意程式碼被植入套件的 package.json(非 composer.json),藉此針對同時使用 JavaScript 建置工具與 PHP 的跨生態系統專案,因為 PHP 開發者審核相依性時容易忽略 JS lifecycle hooks。

惡意指令碼行為包括:

  • 使用 curl 停用 TLS 憑證驗證,從 GitHub 下載二進位檔
  • 以偽裝成 SSH 處理程序的隱藏檔名寫入系統
  • 抑制錯誤輸出,於背景靜默執行

攻擊規模

  • 受感染套件:8 個 Packagist 套件
  • GitHub 相關惡意檔案:17 小時內發現 777 個,多數來自 Node.js 儲存庫
  • 實際規模可能比預期更大

關聯事件

本事件與 2026 年 5 月多起 PHP/Composer 生態系相關供應鏈攻擊同期發生。

參見:software-supply-chain-attackLaravel Lang套件供應鏈攻擊駭客植入竊資軟體事件2026

防禦建議

PHP 開發團隊審核相依性時,須同時檢查 package.json 的 lifecycle hooks,不可只看 Composer 中繼資料。

來源文章

相關頁面