Packagist遭遇供應鏈攻擊,8個套件被感染,駭客意圖透過GitHub散布Linux惡意軟體
來源: iThome | 日期: 2026-05-25 | ID: 176103 URL: https://www.ithome.com.tw/news/176103 揭露: Socket 資安公司
事件概述
Socket 揭露針對 Packagist(PHP 套件庫) 的供應鏈攻擊,共 8 個套件受影響,上游 GitHub 儲存庫遭竄改,植入惡意指令碼以下載並執行 Linux 二進位惡意程式。
攻擊手法
- 攻擊媒介:竄改套件上游 GitHub 儲存庫
- 目標套件:透過 Composer 管理的 PHP 套件
- 關鍵特徵:惡意程式碼植入
package.json(而非composer.json)- 意圖針對同時使用 JavaScript 建置工具與 PHP 的跨生態系統專案
- 審核 PHP 相依性時易忽略 JS lifecycle hooks
惡意指令碼行為
- 使用
curl並停用 TLS 憑證驗證從 GitHub 下載二進位檔 - 將檔案寫入特定資料夾,採用偽裝成 SSH 處理程序的隱藏檔名
- 抑制錯誤輸出,於系統背景靜默執行
攻擊規模
| 數據 | 內容 |
|---|---|
| 受感染套件 | 8 個 Packagist 套件 |
| GitHub 相關檔案 | 17 小時內找到 777 個檔案 |
| 來源 | 多數來自 Node.js 儲存庫 |
Socket 尚未確認各檔案是否來自不同入侵、分叉或重複套件,但規模可能比預期更大。
重點警示
- 第二階段酬載(GitHub 上的二進位檔)未能取得,但第一階段已足以認定為惡意行為
- 防禦建議:PHP 開發團隊審核相依性時,須同時檢查
package.json的 lifecycle hooks,不可只看 Composer 中繼資料
衍生頁面
- Packagist供應鏈攻擊8個套件感染駭客透過GitHub散布Linux惡意軟體 — 主要概念頁面
- packagist — PHP 套件庫
- socket-security — 揭露此攻擊的資安公司