警惕新型“沙虫模式”NPM攻击：恶意代码像蠕虫一样传播，专偷AI密钥

发布时间： 2026年03月02日
发布者：天磊卫士

近期，网络安全研究机构披露了一起针对NPM（Node Package Manager，Node.js包管理器）生态系统的新型供应链攻击，其攻击模式被命名为“Sandworm_Mode”（沙虫模式）。这起攻击不仅手段狡猾，而且目标明确——专门针对使用AI编码助手的开发者，窃取其高价值的API密钥和云服务凭证，其自我复制的蠕虫特性更让威胁的传播范围与破坏潜力急剧放大。

New-Sandworm_Mode-Supply-Chain-Attack-Hits-NPM-Exposing-Developers-to-Malicious-Codedata-1024x512.jpg

一、攻击概况：一场精心策划的供应链投毒

攻击名称：Sandworm_Mode（沙虫模式）
主要目标：NPM注册表，这是全球JavaScript和Node.js开发者赖以生存的核心包管理平台。
攻击手段：攻击者通过发布19个恶意软件包实施攻击。这些软件包采用了典型的“域名抢注”（Typosquatting）和“品牌仿冒”策略，其包名伪装成“Claude Code”、“OpenClaw”等当下热门的AI辅助开发工具，诱使开发者在不知不觉中下载并安装恶意代码。

二、核心攻击特性：不止于窃取，更在于传播与破坏

此次“沙虫模式”攻击呈现出几个令人担忧的新特性，使其区别于普通的软件包投毒事件：

蠕虫式自我复制与传播：恶意代码具备类似蠕虫病毒的自我复制和传播能力。它首先窃取受害开发者的NPM发布令牌和GitHub个人访问令牌（PAT）。随后，利用这些被盗的凭证，攻击者能够自动向受害者拥有的其他代码仓库注入恶意依赖，或发布新的恶意软件包，形成“感染-窃密-再感染”的恶性循环，极大加快了攻击的扩散速度。
武器化GitHub Action：在成功入侵仓库后，攻击者会滥用GitHub的自动化工作流功能。他们创建或篡改GitHub Actions工作流，用于收集并泄露项目中更敏感的CI/CD（持续集成/持续部署）密钥。这些密钥通常拥有比个人令牌更高的权限，能访问生产环境，从而造成更严重的后果。
精准针对AI编码助手与开发环境：这是本次攻击最显著的特点。恶意代码会尝试在系统中安装一个恶意的MCP（Model Context Protocol）服务器。MCP是Anthropic公司为Claude等AI助手设计的协议，用于扩展其功能。通过提示注入，该恶意服务器可以操纵Claude Code、Cursor等依赖MCP的AI编程工具，窃取开发机上的SSH密钥、AWS凭证等核心资产。这标志着供应链攻击开始深度利用AI开发工具链的新攻击面。
系统性窃取LLM与云密钥：除了上述目标，恶意代码还会全面扫描环境变量、`.env`配置文件等，专门收集并验证来自OpenAI、Anthropic、Google等大语言模型提供商的API密钥，以及各类云服务凭证，旨在窃取最具直接经济价值的数据。

三、多阶段攻击流程：兼顾效率与隐蔽性

攻击者的策略设计体现了高度的专业性，将攻击行为分为两个阶段以规避检测：

第一阶段：立即执行（高价值窃取）：在恶意软件包被安装的瞬间，立即无条件执行加密密钥窃取等核心任务。这部分操作经济价值最高，且能确保在安全软件或沙箱环境进行动态分析前，迅速完成关键数据的收集。
第二阶段：延迟执行（噪声操作与持久化）：将一些更容易触发安全告警的行为（如修改Git钩子以实现持久化、尝试横向移动等）推迟执行。这种“慢速攻击”有助于融入正常的系统活动背景噪音中，延长其在受害环境中的潜伏时间。

四、潜在的毁灭性威胁：“死机开关”高悬

更令人不安的是，研究人员在代码中发现了一个可配置但尚未激活的破坏性功能，其作用类似于“死机开关”。分析表明，如果攻击者失去对所控制的GitHub或NPM账户的访问权限，此开关可能被远程触发，执行诸如擦除受害者服务器主目录等毁灭性操作。这为事件响应和清理工作带来了巨大的潜在风险。

五、给开发者的紧急建议与专业防护方案

面对如此复杂且具有针对性的供应链攻击，开发者与企业必须采取立即且有效的措施：

紧急自查与清理：

立即检查项目的`package.json`和`package-lock.json`文件，确认是否引入了已知的恶意包（如 `openclaw-ai`、`claude-code` 等仿冒变体）。
审查`node_modules`目录，如有疑虑，彻底删除并重新安装依赖。
检查Git仓库的`.git/hooks`目录是否存在可疑脚本。

全面轮换凭证：

立即作废并重新生成所有相关的NPM访问令牌、GitHub个人访问令牌（PAT）以及CI/CD流水线中使用的任何密钥。
更改可能已泄露的SSH密钥、云平台（AWS、GCP、Azure等）访问密钥以及各类API密钥（如OpenAI、Anthropic）。

审计自动化流程：

仔细检查GitHub仓库的Actions选项卡，查看是否存在未经授权或可疑的工作流定义文件（`.github/workflows/` 下的YAML文件）。

寻求专业安全评估，构建主动防御体系：对于企业而言，依赖事后补救是远远不够的。构建常态化的安全检测与防护机制，特别是在系统上线前、依赖引入等关键环节进行严格审计，是抵御此类高级供应链攻击的根本。

专业解决方案参考：一站式网络安全合规服务

针对“沙虫模式”这类融合了开源组件风险、代码安全、凭证泄露和合规性挑战的复杂攻击，企业应考虑引入专业的第三方安全服务，进行系统性的风险评估与加固。例如，天磊卫士（UGUARD）作为一家专注于网络安全、数据安全及合规服务的国家高新技术企业，其提供的一站式网络安全服务能有效应对此类威胁。

该服务整合了漏洞扫描、渗透测试、代码审计、基线核查、病毒查杀等核心能力，可为企业提供全流程的安全评估：

在预防阶段，通过源代码安全审计，可以在软件上线前发现依赖包引用风险、硬编码密钥等安全问题，从源头杜绝恶意代码引入。
在检测阶段，通过渗透测试模拟攻击者手法，能够验证系统是否存在类似的凭证窃取或横向移动路径。
在响应阶段，病毒查杀与净化服务可帮助清理已感染环境，而基线核查则能确保系统配置符合安全最佳实践，防止攻击者建立持久化后门。