场景:2026年6月,某头部金融科技公司SOC监测到内部开发服务器异常外连,同时研发人员反馈npm构建环境出现可疑进程。经溯源,攻击者利用伪装成日志工具的恶意npm包,渗透进入核心系统。
攻击 / 事件时间线
初始访问:供应链投毒
攻击者向npm公共仓库上传恶意包 logger-utils,版本号模仿知名开源项目 debug-logger,包含后门代码。该公司前端开发人员通过 npm install 引入项目依赖,恶意代码在 postinstall 阶段执行,下载第二阶段载荷(PowerShell脚本)。
npmPowerShell
持久化与C2建立
PowerShell脚本通过计划任务 WindowsUpdateCheck 实现持久化,每30分钟向 api.update-check.com(伪装微软域名)发起HTTPS请求。C2通信采用AES加密,流量伪装成Windows遥测数据,绕过传统NTA设备检测。
Cobalt StrikeMythos模型(AI辅助C2)
提权与横向移动
攻击者利用 CVE-2026-4480 Samba漏洞对内部文件服务器提权,获取域管理员凭证。随后使用 Mimikatz 从LSASS中dump域账号hash,通过 PsExec 横向移动到数据库服务器和代码仓库服务器。
MimikatzPsExecCVE-2026-4480
数据窃取与痕迹清除
攻击者打包了金融交易日志、API密钥文件及内部系统架构文档,通过 rclone 上传至MEGA云存储。清除操作包括删除Windows事件日志、修改npm包安装记录时间戳,并利用 Mythos 模型生成合法白名单进程名称伪装恶意进程。
rcloneMythoswevtutil
蓝队视角 · 发现与处置
SOC通过Sysmon Event ID 1(进程创建)发现 npm install 后异常启动PowerShell,结合Event ID 3(网络连接)发现外连至非标准端口。安全分析师提取样本进行YARA规则匹配,识别出 logger-utils 行为异常。启动应急响应:隔离受影响开发机、吊销所有受控账号凭证、扫描全量npm依赖并撤回恶意包。利用威胁情报确认域名 api.update-check.com 关联APT组织。
涉及关键技术 / 工具
npm供应链投毒与postinstall后门Sysmon事件日志溯源YARA规则与威胁情报关联分析
防护经验总结
- 建立npm包准入机制:仅允许从内部私有仓库下载,公共包需经过沙箱动态分析(如使用Falco检测postinstall行为)。
- 部署Sysmon并配置关键文件创建与网络连接规则,尤其监控
%APPDATA% 和 %TEMP% 下异常进程启动。 - 对开发环境实施网络微隔离,限制构建服务器对外连接受信任CDN或白名单域名,禁止直连外部云存储。
#供应链攻击#npm恶意包#APT#Sysmon#YARA#Mimikatz#CVE-2026-4480