微软发现大规模npm供应链攻击：伪造企业软件包利用开发者信任

事件概述

2026年5月30日，微软威胁情报部门公布了一项重大供应链安全发现。在2026年5月下旬（5月28日至29日期间），攻击者利用了npm依赖生态系统的安全漏洞，发布了大量伪装成合法企业内部软件组件的恶意包。

攻击手法详解

第一阶段：身份伪装与命名混淆

攻击者使用了三个不同的维护者身份，精心设计了数百个npm包，这些包的名称旨在让在企业的内部环境中工作的开发者产生信任感。为了增加可信度，每个包都包含了专业的元数据——从伪造的GitHub Enterprise仓库到虚假的Jira项目、工程团队和内部文档门户。

第二阶段：通过npm生命周期钩子自动执行

这是攻击最具隐蔽性的部分。恶意软件在安装期间静默执行，使检测变得显著困难。攻击者利用了npm的postinstall钩子机制，当开发者运行npm install时，代码无需手动执行即可自动运行。

第三阶段：跨平台渗透

针对不同操作系统部署了特定载荷：

• Windows设备：接收专为在分离进程中静默运行而设计的平台特定载荷
• Linux开发工作站和构建服务器：针对DevOps管道、云基础设施和容器化环境
• Apple-based开发机器：利用macOS在企业开发环境中的广泛使用