亞馬遜近日披露了一起針對開源軟件注冊表的大規模惡意包注入事件,攻擊者通過注入超過15萬個虛假軟件包,利用虛擬代幣激勵機制牟取非法利益。與傳統的投毒掛馬或竊取憑證等攻擊手段不同,此次事件的核心目標是借助開源生態的信任體系,通過自動化生成惡意包獲取加密貨幣獎勵。
安全團隊在AI輔助檢測規則的支持下,于10月下旬首次發現異常活動。研究人員通過分析發現,這些惡意包均來自多個開發者賬號,其代碼中嵌入了自我復制功能,能夠自動生成并發布新包。截至11月12日,累計標記的惡意包數量已突破15萬個,其中包含指向攻擊者控制錢包地址的配置文件,用戶在不知情的情況下使用這些軟件包時,實際上是在為攻擊者“挖取”代幣。
涉事的tea.xyz是一個去中心化協議,其設計的TEA代幣本用于獎勵開源開發者的貢獻,涵蓋激勵、質押與治理等生態功能。然而攻擊者利用這一機制,通過大規模注入低質量甚至無功能的軟件包,不僅擠占了注冊表的存儲與帶寬資源,更嚴重削弱了開源社區的信任基礎。亞馬遜安全專家指出,此類攻擊可能引發連鎖反應,導致更多基于獎勵機制的開源平臺遭受類似濫用。
目前,亞馬遜已與開放源碼安全基金會(OpenSSF)展開合作,將新發現的惡意包提交至專用倉庫進行追蹤。據統計,每個提交的軟件包平均在30分鐘內即可獲得MAL-ID標識,便于開發者快速識別風險。安全團隊強調,盡管此次攻擊未直接竊取用戶數據或植入勒索軟件,但其對軟件供應鏈的破壞性不容忽視——大量無效包不僅增加了維護成本,還可能為后續更復雜的攻擊埋下隱患。
AWS研究人員Chi Tran與Charlie Bacon分析稱,金融激勵正在推動攻擊手段向規模化、自動化演變。他們警告,此次事件的“成功”可能催生更多針對獎勵系統的濫用行為,例如通過自動化工具持續生成惡意包以獲取利益。這種趨勢若未得到有效遏制,將進一步加劇開源生態的安全壓力。
