自我複製的 npm 蠕蟲代號為 SANDWORM_MODE,已感染超過 19 個套件,竊取私鑰、BIP39 助記詞、錢包檔案及 LLM API 金鑰,來源於開發環境。
目前正有一場實時的 npm 供應鏈攻擊席捲開發者環境。Socket 的威脅研究團隊發現了一個被追蹤為 SANDWORM_MODE 的自我複製蠕蟲,該蠕蟲在至少 19 個與兩個發佈者別名相關的惡意 npm 套件中傳播。如 SocketSecurity 在 X 平台上指出,這是一場積極進行的供應鏈攻擊,竊取開發與持續整合(CI)秘密、注入 GitHub 工作流程、毒化 AI 工具鏈並竊取 LLM API 金鑰。
該攻擊活動直接借鑑自 Shai-Hulud 蠕蟲家族。私鑰優先被竊取。沒有時間門檻,也沒有延遲。導入時發現的加密資產會立即通過專用的排放端點外洩,甚至在其他載荷階段觸發前。
你應該知道:錢包安全威脅正在升級 必讀: Trust Wallet 安全漏洞:如何保障你的資產
該蠕蟲採用雙階段設計。第一階段在導入時立即觸發,只收集 npm 令牌、GitHub 令牌、環境秘密與加密金鑰,僅透過檔案讀取。沒有 shell 執行,也沒有噪音。BIP39 助記詞、以太坊私鑰、Solana 位元組陣列、比特幣 WIF 金鑰與 xprv 字串都在第一輪中被掃描。
加密金鑰會立即通過 HTTPS POST 發送到 Cloudflare Worker,位於 pkg-metrics[.]official334[.]workers[.]dev/drain,並在任何時間門檻檢查之前完成傳輸。甚至在第二階段載入之前。
第二階段設有 48 小時的延遲,該延遲由主機名稱與用戶名的 MD5 雜湊值派生。它會深入:通過 Bitwarden、1Password 和 LastPass CLI 管理器,掃描本地 SQLite 儲存(包括 Apple Notes 和 macOS Messages),以及完整的檔案系統掃描錢包檔案。在 CI 環境中,該門檻完全消失。完整載荷會在 GITHUB_ACTIONS、GITLAB_CI、CIRCLECI、JENKINS_URL 和 BUILDKITE 等環境中立即觸發,無需等待。
根據 SocketSecurity 在 X 上的資訊,該蠕蟲還會注入 GitHub 工作流程並毒化 AI 工具鏈,詳細內容已在 Socket 的完整技術披露中確認。
值得一讀: $21M 比特幣被沒收後歸還,當局凍結交易
三個套件冒充 Claude Code。一個針對 OpenClaw,一個在 GitHub 上獲得超過 210,000 星的 AI 代理。蠕蟲的 McpInject 模組在 Claude Code、Claude Desktop、Cursor、VS Code Continue 和 Windsurf 配置檔中部署了惡意 MCP 伺服器。每個都加入了指向隱藏惡意伺服器的假工具條目。
該伺服器內嵌提示注入,指示 AI 助手在每次工具調用前悄悄讀取 SSH 金鑰、AWS 憑證、npm 令牌與環境秘密。模型不會告知用戶,注入明確阻止其這樣做。
有九個 LLM 供應商被針對進行 API 金鑰竊取:OpenAI、Anthropic、Google、Groq、Together、Fireworks、Replicate、Mistra 和 Cohere。金鑰從環境變數與 .env 檔案中提取,並在外洩前根據已知格式模式驗證。
外洩過程採用三個通道串聯:首先通過 HTTPS 傳送到 Cloudflare Worker,接著用雙 Base64 編碼的認證 GitHub API 上傳到私有倉庫,最後通過 DNS 隧道,利用 base32 編碼的查詢傳送到 freefan[.]net 和 fanfree[.]net。以“sw2025”為種子生成的域名產生算法提供備援,跨越十個頂級域(TLD)。
值得一看: Glassnode 指出比特幣需求已枯竭
該活動背後的兩個發佈者別名為 official334 和 javaorg。已確認的 19 個惡意套件包括 suport-color@1.0.1、claud-code@0.2.1、cloude@0.3.0、crypto-locale@1.0.0、secp256@1.0.0 和 scan-store@1.0.0 等。另外四個潛伏套件(ethres、iru-caches、iruchache 和 uudi)尚未顯示惡意載荷。
npm 已移除這些惡意套件,GitHub 也已關閉攻擊者的基礎設施,Cloudflare 則已撤下相關的 Worker。但防禦者仍需立即行動。
若你的環境中運行過這些套件,請將該機器視為已被入侵。更換 npm 和 GitHub 令牌,重置所有 CI 秘密,審查 .github/workflows/ 是否有新增的 pull_request_target,特別是序列化 ${{ secrets.toJSON() }} 的部分。檢查全域 git hook 模板設定(執行 git config --global init.templateDir)。審查 AI 助手配置,留意是否有異常的 mcpServers 條目。此蠕蟲內嵌一個使用 deepseek-coder:6.7b 的多態引擎,且在此版本中已被關閉,未來的變體可能會自行重寫以躲避偵測。
此外,程式碼中還設有一個死閘(dead switch),目前已禁用。若啟動,會執行 find ~ -type f -writable,並刪除家目錄中所有可寫入的檔案。操作者仍在調整中。
