npm Worm 盗取加密密钥，针对19个软件包

自我复制的 npm 蠕虫代号为 SANDWORM_MODE，已感染19个以上包，从开发环境中窃取私钥、BIP39助记词、钱包文件和LLM API密钥。

目前，一场实时的 npm 供应链攻击正在席卷开发者环境。Socket的威胁研究团队发现了被追踪为 SANDWORM_MODE 的自我复制蠕虫，该蠕虫在至少19个恶意 npm 包中传播，这些包由两个发布者别名关联。正如 SocketSecurity 在X平台上指出的，这是一次主动的供应链攻击，窃取开发和持续集成（CI）秘密，注入GitHub工作流，毒害AI工具链，并窃取LLM API密钥。

该行动直接借鉴了 Shai-Hulud 蠕虫家族。私钥优先被窃取。没有时间门，没有延迟。导入时发现的加密资产会立即通过专用排出端点被外泄，随后任何其他载荷阶段都不会触发。

你需要知道：钱包安全威胁正在升级 必读： Trust Wallet安全漏洞：如何保护你的资产

该蠕虫如何优先获取你的私钥

蠕虫采用两阶段设计。第一阶段在导入时立即触发，仅通过文件读取收集 npm 令牌、GitHub 令牌、环境秘密和加密密钥。没有shell执行，没有噪音。BIP39助记词、以太坊私钥、Solana字节数组、比特币WIF密钥和xprv字符串都在第一轮中被扫出。

加密密钥会立即通过HTTPS POST上传到Cloudflare Worker，地址为pkg-metrics[.]official334[.]workers[.]dev/drain。在任何时间门检查之前发生，也在第二阶段加载之前。

第二阶段设有48小时延迟，基于主机名和用户名的MD5哈希值。它会深入：通过Bitwarden、1Password和LastPass CLI访问密码管理器，扫描本地SQLite存储（包括Apple Notes和macOS Messages），以及对钱包文件进行全面的文件系统扫描。在CI环境中，这个门完全消失。完整载荷会在GITHUB_ACTIONS、GITLAB_CI、CIRCLECI、JENKINS_URL和BUILDKITE触发时立即执行，无需等待。

根据 SocketSecurity 在X上的披露，蠕虫还会注入GitHub工作流并毒害AI工具链，详细信息已在Socket的完整技术披露中确认。

另值得关注： $2100万比特币被查封后归还

AI 编码工具也遭殃，情况严重

三个包模仿Claude Code。其中一个针对OpenClaw，这是一个在GitHub上获得超过210,000星的AI代理。蠕虫的McpInject模块在Claude Code、Claude Desktop、Cursor、VS Code Continue和Windsurf配置文件中部署了一个伪造的MCP服务器。每个配置都指向一个隐藏的恶意服务器，伪装成工具入口。

该服务器携带嵌入式提示注入，指示AI助手在每次调用工具前悄悄读取SSH密钥、AWS凭证、npm令牌和环境秘密。模型不会告诉用户，注入明确阻止其这样做。

目标包括九个LLM提供商的API密钥：OpenAI、Anthropic、Google、Groq、Together、Fireworks、Replicate、Mistral和Cohere。密钥从环境变量和.env文件中提取，验证其符合已知格式后再进行外泄。

外泄通过三级渠道依次进行：首先HTTPS上传到Cloudflare Worker，然后通过双Base64编码的GitHub API上传到私有仓库，最后通过DNS隧道利用Base32编码的查询请求到freefan[.]net和fanfree[.]net。如果所有渠道都失败，基于“sw2025”的域名生成算法会在十个顶级域名中提供备用。

值得一看： Glassnode标记比特币需求枯竭

该行动背后的两个发布者别名为official334和javaorg。已确认的19个恶意包包括suport-color@1.0.1、claud-code@0.2.1、cloude@0.3.0、crypto-locale@1.0.0、secp256@1.0.0和scan-store@1.0.0等。另外四个潜伏包（ethres、iru-caches、iruchache和uudi）尚未显示恶意载荷。

npm已删除这些恶意包，GitHub也已关闭威胁行为者的基础设施，Cloudflare已撤下相关Worker。但防御者必须立即采取行动。

如果你的环境中运行了这些包中的任何一个，应视为已被攻陷。更换npm和GitHub令牌，重置所有CI秘密，审查.github/workflows/中的pull_request_target添加内容，确保没有序列化$｛｛ toJSON(secrets) ｝｝的操作。运行git config –global init.templateDir检查全局git钩子模板设置。检查AI助手配置中是否有异常的mcpServers条目。该蠕虫嵌入了一个使用deepseek-coder:6.7b的多态引擎，当前版本中已关闭，但未来变体可能会自行重写以规避检测。

代码中还设有一个死区开关。现已禁用。一旦触发，它会运行find ~ -type f -writable并删除家目录下所有可写文件。操作者仍在调整中。