Packagist 供應鏈攻擊事件(2026-05-25)
Socket 資安公司揭露針對 Packagist(PHP 套件庫) 的供應鏈攻擊,共 8 個套件受影響,上游 GitHub 儲存庫遭竄改,植入惡意指令碼以下載並執行 Linux 二進位惡意程式。
攻擊手法
惡意程式碼被植入套件的 package.json(非 composer.json),藉此針對同時使用 JavaScript 建置工具與 PHP 的跨生態系統專案,因為 PHP 開發者審核相依性時容易忽略 JS lifecycle hooks。
惡意指令碼行為包括:
- 使用
curl停用 TLS 憑證驗證,從 GitHub 下載二進位檔 - 以偽裝成 SSH 處理程序的隱藏檔名寫入系統
- 抑制錯誤輸出,於背景靜默執行
攻擊規模
- 受感染套件:8 個 Packagist 套件
- GitHub 相關惡意檔案:17 小時內發現 777 個,多數來自 Node.js 儲存庫
- 實際規模可能比預期更大
關聯事件
本事件與 2026 年 5 月多起 PHP/Composer 生態系相關供應鏈攻擊同期發生。
參見:software-supply-chain-attack、Laravel Lang套件供應鏈攻擊駭客植入竊資軟體事件2026
防禦建議
PHP 開發團隊審核相依性時,須同時檢查 package.json 的 lifecycle hooks,不可只看 Composer 中繼資料。
來源文章
相關頁面
- packagist — 受攻擊的 PHP 套件庫
- socket-security — 揭露此事件的資安公司
- software-supply-chain-attack — 軟體供應鏈攻擊通用概念