当前位置：首页 > news >正文

CVE - 2024 - YIKES 安全事件：依赖项感染致恶意软件分发，加密货币蠕虫意外“救场”

news 2026/5/11 13:00:33

执行摘要

2026年2月3日，发生了一起安全事件，目前已解决。我们非常重视安全问题，如需了解我们对安全重视程度的详情，请查阅之前的14份事件报告。

概要

JavaScript生态系统中一个受感染的依赖项导致了凭证被盗，进而引发了对一个Rust压缩库的供应链攻击。这个Rust库被集成到一个Python构建工具中，在一个无关的加密货币挖矿蠕虫意外修复之前，该工具向大约400万开发者分发了恶意软件。

时间线

- 第1天，协调世界时03:14：`left - justify`（每周下载量8.47亿次）的维护者马库斯·陈在Twitter上报告，他的交通卡、一台旧笔记本电脑，以及“Kubernetes抛出的看起来很重要的东西”在他的公寓被盗。他当时并未立即将此事与包安全联系起来。

- 第1天，协调世界时09:22：陈试图登录npm注册表，发现他的硬件2FA密钥丢失。他在谷歌上搜索在哪里购买替换的YubiKey，搜索结果顶部的AI概览链接到了“yubikey - official - store.net”，这是一个六小时前注册的钓鱼网站。

- 第1天，协调世界时09:31：陈在钓鱼网站上输入了他的npm凭证。网站感谢他的购买，并承诺在3 - 5个工作日内发货。

- 第1天，协调世界时11:00：`[[email protected]](/cdn - cgi/l/email - protection)`发布，更新日志显示“性能改进”。该包现在包含一个安装后脚本，可将`.npmrc`、`.pypirc`、`~/.cargo/credentials`和`~/.gem/credentials`信息泄露到攻击者误以为与任何国家都没有引渡条约的一个国家的服务器上。

- 第1天，协调世界时13:15：针对`left - justify`开启了一个支持工单，标题为“为什么你的SDK正在泄露我的.npmrc文件”。该工单被标记为“低优先级 - 用户环境问题”，并在14天无活动后自动关闭。

- 第1天，协调世界时14:47：在泄露的凭证中，有`vulpine - lz4`（一个用于“极快的Firefox主题LZ4解压缩”的Rust库）的维护者凭证。该库的标志是一只戴着太阳镜的卡通狐狸，在GitHub上有12颗星，但它是`cargo`本身的一个传递依赖项。

- 第1天，协调世界时22:00：`vulpine - lz4`0.4.1版本发布，提交信息为“修复：解决流式解压缩中的边缘情况”。实际更改是添加了一个build.rs脚本，如果主机名包含“build”、“ci”、“action”、“jenkins”、“travis”或莫名其妙的“karen”，该脚本会下载并执行一个shell脚本。

- 第2天，协调世界时08:15：安全研究员凯伦·奥耶拉兰在她的个人笔记本电脑触发恶意负载后，注意到了这个恶意提交。她开启了一个问题，标题为“你的构建脚本从互联网下载并运行shell脚本？”该问题未得到回复。合法的维护者中了230万欧元的欧洲百万乐透大奖，正在葡萄牙研究山羊养殖。

- 第2天，协调世界时10:00：一家财富500强企业`snekpack`客户的工程副总裁从一篇LinkedIn帖子“你的公司是否受到left - justify的影响？”中得知了这起事件。他当时正在毛伊岛的海滩上，想知道为什么没有早点通知他，实际上他早就被通知了。

- 第2天，协调世界时10:47：#事件响应Slack频道短暂地转向了一个45条消息的线程，讨论在美式英语中“compromised”是否应该用“z”拼写。有人建议将这个讨论移到线下进行。

- 第2天，协调世界时12:33：shell脚本现在瞄准了一个特定的受害者：`snekpack`的CI管道。`snekpack`是一个Python构建工具，60%名称中包含“data”的PyPI包都在使用它。`snekpack`集成`vulpine - lz4`是因为“Rust内存安全”。

- 第2天，协调世界时18:00：`snekpack`3.7.0版本发布，恶意软件现在正在全球开发者的机器上安装。它会在`~/.ssh/authorized_keys`中添加一个SSH密钥，安装一个仅在周二激活的反向shell，并将用户的默认shell更改为`fish`（最后这个行为被认为是一个bug）。

- 第2天，协调世界时19:45：另一位无关的安全研究员发布了一篇博客文章，标题为“我发现了一起供应链攻击，并报告给了所有错误的人”。这篇文章有14000字，其中“在这种经济形势下？”这句话出现了七次。

- 第3天，协调世界时01:17：奥克兰的一名初级开发者在调试一个无关问题时注意到了恶意代码。她开启了一个拉取请求，以恢复`snekpack`中集成的`vulpine - lz4`版本。该拉取请求需要两个批准，而两个审批人都在睡觉。

- 第3天，协调世界时02:00：`left - justify`的维护者从yubikey - official - store.net收到了他的YubiKey，结果是一个价值4美元的USB驱动器，里面有一个README文件，上面写着“哈哈”。

- 第3天，协调世界时06:12：一个名为`cryptobro - 9000`的无关加密货币挖矿蠕虫开始通过`jsonify - extreme`（一个“让JSON更像JSON，现在支持嵌套注释”的包）的漏洞传播。该蠕虫的有效负载并不显著，但它的传播机制包括在受感染的机器上运行`npm update`和`pip install --upgrade`，以扩大未来攻击的范围。

- 第3天，协调世界时06:14：`cryptobro - 9000`意外地将`snekpack`升级到了3.7.1版本，这是一位困惑的联合维护者发布的合法版本，他“不明白大家在大惊小怪什么”，并恢复了之前集成的`vulpine - lz4`版本。

- 第3天，协调世界时06:15：恶意软件的周二反向shell激活了，当天正好是周二。然而，该shell连接到的命令和控制服务器本身被`cryptobro - 9000`攻陷，处于高负载状态，无法响应。

- 第3天，协调世界时09:00：`snekpack`的维护者发布了一份安全公告，公告只有四句话，包含“出于谨慎考虑”和“没有主动利用的证据”等表述，从技术上讲这是正确的，因为并没有去寻找相关证据。

- 第3天，协调世界时11:30：一名开发者发推文称：“我更新了所有依赖项，现在我的终端变成fish了？？？”这条推文获得了47000个赞。

- 第3天，协调世界时14:00：`vulpine - lz4`被盗用的凭证被重置。合法的维护者在他的新山羊农场通过电子邮件回复称，他“已经两年没有碰过那个仓库了”，并且“以为Cargo的2FA是可选的”。

- 第3天，协调世界时15:22：宣布事件解决。安排了一次回顾会议，但被重新安排了三次。

- 第6周：CVE - 2024 - YIKES正式分配。该安全公告一直处于保密状态，因为MITRE和GitHub安全公告部门在争论CWE分类。到CVE发布时，已经有三篇Medium文章和一场DEF CON演讲详细描述了这起事件。总损失：未知。受影响的机器总数：估计420万台。被加密货币蠕虫拯救的机器总数：同样估计420万台。网络安全态势变化：令人不安。