安全公司警告有黑客在 GitHub 利用自动安装脚本发起供应链投毒，超 700 个代码库遭污染

6 月 7 日消息，网络安全公司 Socket 研究团队发文，透露有黑客利用“Postinstall”自动安装脚本发起供应链攻击，目前已污染超过 700 个 GitHub 公开代码库。

Socket 表示，黑客在此次攻击事件中首先对 GitHub 多个上游代码仓库动手，悄悄修改 package.json 自动安装脚本，当开发者安装相关依赖时，脚本会自动执行，并下载恶意木马，之后黑客即可趁虚而入进一步获取受害者设备上的隐私信息，并进一步污染更多项目。

同时，为了降低被发现的概率，相应恶意木马还会被保存为“/tmp/.sshd”文件，故意伪装成合法 SSH 服务进程名称，从而降低开发者戒心。

Socket 指出，这类供应链投毒方式尤其危险，因为开发者往往默认信任自动化安装流程，一旦上游仓库被污染，下游基本容易“全军覆没”。因此开发团队应当避免直接信任第三方依赖包，定期重点检查 Composer 包管理工具配置、审计自动执行脚本，以降低供应链攻击带来的安全风险。