IT之家 11 月 17 日消息，亞馬遜 11 月 13 日披露了「開源註冊表歷史上規模最大的包氾濫事件之一」，但這次攻擊方式與以往投毒掛馬、竊取憑證、植入勒索軟件等手法不同，而是通過虛擬代幣以實現牟利。

Amazon Inspector 安全研究人員在全新的檢測規則與 AI 協助下，於 10 月下旬首次發現可疑的 npm 軟件包，並在 11 月 7 日前已標記出數千個。到 11 月 12 日，團隊在來自「多個」開發者賬號中累計發現超過 15 萬個惡意軟件包。

這些惡意包被指與一場協調實施的 tea.xyz 代幣挖取活動相關。tea.xyz 是一個去中心化協議，旨在通過 TEA 代幣獎勵開源開發者的貢獻，該代幣用於激勵、質押與治理等生態用途。

據介紹，攻擊者在 npm 註冊表中注入了超過 15 萬個惡意包，這些惡意包含有自我複製代碼，能夠讓被感染的軟件包自動生成並發布新包，從而藉助合法開源開發者的生態獲得加密貨幣獎勵。IT之家從亞馬遜獲悉，相關代碼中還包含指向攻擊者控制的錢包地址的 tea.yaml 文件，而用戶在使用這些軟件包時完全不知情地為攻擊者「充值」。

亞馬遜安全研究人員警告，此類攻擊不僅消耗註冊表資源、降低開源社區信任度，還可能激發類似的金融驅動型自動化包生成攻擊。

亞馬遜正與開放源碼安全基金會（OpenSSF）合作，對相關包採取響應措施，並將新發現的惡意包提交至 OpenSSF 的惡意包倉庫。據稱，每個被提交的軟件包平均在 30 分鐘內都會獲得 MAL-ID 標識。

AWS 的研究人員 Chi Tran 和 Charlie Bacon 表示：「此事件顯示了威脅形態的持續演變，金融激勵正在以前所未有的規模推動註冊表污染，也凸顯了業界與社區協作在保護軟件供應鏈中的關鍵性。」

Tran 和 Bacon 指出，儘管這次攻擊未使用竊密或其他惡意程序，但仍帶來多方面風險，包括向 npm 註冊表大量灌入低質量、無功能的軟件包，侵蝕本已承受巨大安全壓力的開源社區信任。此外，註冊表的基礎設施、帶寬與存儲會被這些以牟利為目的的軟件包占用，擠壓真正貢獻者所需的資源。

他們也警告稱，「這場活動的成功可能會激發類似方式對其他基於獎勵的系統進行濫用，使以獲利為目的的自動化包生成行為被進一步常態化。」

作為供應商，亞馬遜建議防禦者使用其工具檢查開發環境中是否存在與 tea.xyz 代幣挖取活動相關的軟件包。但移除低質量、不具功能的軟件包、加固供應鏈，包括使用軟件物料清單（SBOM）以及隔離 CI / CD 環境，始終是提升安全性的通用做法。