又又一起NPM供应链投毒：valorkin 和 scttcper 账户被入侵事件，影响广泛

主要观点总结

本文详细描述了2025年9月15日发生的NPM组件投毒事件，影响了两位知名开发者的近40个开源组件。攻击者通过窃取开发者账户凭证，在热门组件中植入恶意代码，利用TruffleHog等工具窃取敏感信息。本文提供了防御建议，并展望了未来可能的供应链攻击趋势。

关键观点总结

关键观点1: 事件概述

2025年9月15日，一起严重的NPM组件投毒事件影响了几十位开发者的近40个开源组件，历史总下载量超过亿次。攻击者通过窃取开发者valorkin和scttcper的账户凭证，在他们维护的热门组件中植入了恶意代码。

关键观点2: 技术细节分析

攻击者采用了复杂而隐蔽的多阶段攻击链，包括账户凭证窃取、恶意代码植入、触发执行、信息收集和数据外传等阶段。攻击者利用了TruffleHog等合法工具进行信息窃取，并通过GitHub仓库进行数据外传。这次攻击与之前的qix事件在时间和攻击模式上具有相似性，可能是同一攻击者或攻击组织所为。

关键观点3: 影响范围

这次攻击影响了大量的开源组件，这些组件的开发者和使用者都受到了影响。此外，由于NPM的依赖链特性，一个被感染的基础组件可能会影响数千个下游项目。攻击者获取的GitHub、AWS、GCP等服务的token和密钥可能被用于进一步的攻击，形成更大范围的安全事件。

关键观点4: 防御建议

针对此类供应链攻击，建议开发者和企业采取多层次防御措施，包括检查并更新受影响组件、启用双因素认证、定期轮换凭证、使用锁文件固定依赖版本、建立私有NPM仓库、实施供应链安全监控、制定应急响应计划、进行开发环境隔离等。

关键观点5: 未来展望

未来可能会看到更多针对开源生态系统的供应链攻击，特别是针对那些下载量大、影响范围广的热门组件。开源社区需要加强对包管理系统的安全机制建设，如强制双因素认证、改进包发布验证流程等，以减少此类攻击的可能性。