文章总结： 2026年2月发现的新型开源供应链攻击GhostCampaign通过npm包注册表针对开发者，攻击者发布多个伪装为合法开发工具的恶意包，利用虚假安装日志和虚假依赖名称模拟正常安装过程，并通过伪造权限不足错误诱导开发者输入sudo密码，随后从Telegram频道或teletype.in获取最终载荷部署RAT木马以窃取加密货币钱包和敏感数据。该攻击已扩展至GitHub仓库传播，相关攻击集群GhostClaw于3月被记录。建议开发者切勿在npm安装过程中输入sudo密码，安装前验证包作者与仓库历史，企业应实施严格依赖审查流程并将安装过程中的密码提示视为高危信号。 综合评分： 80 文章分类： 供应链安全,恶意软件,漏洞预警,安全意识,WEB安全

新型开源供应链攻击，虚假npm安装日志暗藏RAT木马

FreeBuf

2026年3月27日 18:11 上海

#

Part01

攻击概述

安全研究人员发现一场精心策划的新型软件供应链攻击正通过 npm 包注册表针对开发者，攻击者利用虚假安装日志掩盖恶意活动。这项被命名为”幽灵行动”（Ghost campaign）的攻击始于 2026 年 2 月初，攻击者构建了一系列 npm 包诱骗开发者提交系统凭证，同时在受害者机器上秘密部署远程访问木马（RAT）。

Part02

攻击流程剖析

当开发者安装恶意包时，攻击即刻启动。这些包会模拟正常的 npm 安装过程——输出日志信息、显示进度条并插入随机延迟以增强真实性。实际上，屏幕上显示的待下载包名均来自硬编码列表，所有声称要安装的依赖均不存在。这种欺骗手段使得即使经验丰富的开发者都难以察觉异常。

ReversingLabs 分析师在 2026 年 2 月初识别出该恶意活动，溯源发现 7 个相关包均由名为”mikilanjillo”的 npm 用户发布，包括：

• react-performance-suite
• react-state-optimizer-core
• react-fast-utilsa
• ai-fast-auto-trader
• pkgnewfefame1
• carbon-mac-copy-cloner
• coinbase-desktop-sdk

Part03

技术突破与后续扩散

研究人员指出，使用虚假安装日志掩盖恶意行为属于新型攻击技术，标志着威胁行为体在开源生态系统中规避检测的手段出现显著演变。攻击最终阶段会投放专门窃取加密货币钱包、收集敏感数据并接收攻击者服务器指令的 RAT。

该活动的影响范围超出最初发现的 7 个包。2026 年 3 月，JFrog 记录了名为 GhostClaw 的相关攻击集群，其技术与基础设施与 ReversingLabs 发现的样本高度相似。Jamf Threat Labs 分析进一步显示，攻击还通过伪装成交易机器人和 SDK 等合法开发工具的 GitHub 仓库传播。这些仓库先植入无害代码并长期保持静默以建立信任，随后才引入恶意组件。

Part04

核心欺骗机制：虚假日志与 sudo 钓鱼

攻击最具迷惑性的环节是诱骗开发者提交 sudo 密码。在虚假安装过程中，包会输出错误提示，声称由于缺少对/usr/local/lib/node_modules（Linux/macOS 系统标准全局包目录）的写入权限而无法安装依赖，继而诱导开发者输入 root 密码以”解决问题”。

密码确认后，恶意下载器便在虚假日志的掩护下静默运行。下载器会从 Telegram 频道获取最终载荷 URL 和解密密钥，在某些案例中这些信息被隐藏在 teletype.in 上伪装成区块链文档的 Web3 帖子中。

Part05

防护建议

开发者应特别注意：

• 安装过程中绝不应 npm 包要求输入 sudo 或 root 密码，合法包在此阶段无需系统级访问权限
• 安装前务必验证包作者及仓库历史记录
• 使用自动化安全扫描工具检测可疑脚本 企业应实施严格的依赖项审查流程，并将软件安装过程中的任何密码提示视为重大危险信号。

Part06

攻击指标（IoC）

参考来源：

Fake npm Install Messages Hide RAT Malware in New Open Source Supply Chain Campaign

Fake npm Install Messages Hide RAT Malware in New Open Source Supply Chain Campaign

#

#

#

推荐阅读

电报讨论

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：FreeBuf 《新型开源供应链攻击，虚假npm安装日志暗藏RAT木马》