Packagist遭遇供應鏈攻擊,8個套件被感染,駭客意圖透過GitHub散布Linux惡意軟體

來源: iThome | 日期: 2026-05-25 | ID: 176103 URL: https://www.ithome.com.tw/news/176103 揭露: Socket 資安公司

事件概述

Socket 揭露針對 Packagist(PHP 套件庫) 的供應鏈攻擊,共 8 個套件受影響,上游 GitHub 儲存庫遭竄改,植入惡意指令碼以下載並執行 Linux 二進位惡意程式。

攻擊手法

  • 攻擊媒介:竄改套件上游 GitHub 儲存庫
  • 目標套件:透過 Composer 管理的 PHP 套件
  • 關鍵特徵:惡意程式碼植入 package.json(而非 composer.json
    • 意圖針對同時使用 JavaScript 建置工具與 PHP 的跨生態系統專案
    • 審核 PHP 相依性時易忽略 JS lifecycle hooks

惡意指令碼行為

  • 使用 curl停用 TLS 憑證驗證從 GitHub 下載二進位檔
  • 將檔案寫入特定資料夾,採用偽裝成 SSH 處理程序的隱藏檔名
  • 抑制錯誤輸出,於系統背景靜默執行

攻擊規模

數據內容
受感染套件8 個 Packagist 套件
GitHub 相關檔案17 小時內找到 777 個檔案
來源多數來自 Node.js 儲存庫

Socket 尚未確認各檔案是否來自不同入侵、分叉或重複套件,但規模可能比預期更大

重點警示

  • 第二階段酬載(GitHub 上的二進位檔)未能取得,但第一階段已足以認定為惡意行為
  • 防禦建議:PHP 開發團隊審核相依性時,須同時檢查 package.json 的 lifecycle hooks,不可只看 Composer 中繼資料

衍生頁面