在另一个迹象表明，开发人员仍然是软件供应链攻击的目标，在Rust程序设计语言的板条箱注册表上发现了一些恶意软件包。

这些图书馆是在2023年8月14日至16日之间上传的，是由一个名为“Amaperf”的用户发布的，门在上周发表的一份报告中说。现在被取下来的包的名称如下：母题、if-CFG、xrvrv、SERD、oncecell、惰性和envlogger。

目前还不清楚该活动的最终目标是什么，但发现可疑模块隐藏捕获操作系统信息（即Windows、Linux、macOS或未知）的功能，并通过消息传递平台的API将数据传输到硬编码的Telegram通道。

这表明，这场运动可能还处于早期阶段，而威胁行为者可能已经撒下了一个很宽的网络，以破坏尽可能多的开发人员机器，以便通过改进的数据外接功能提供恶意更新。

该公司说：“通过访问SSH密钥、生产基础设施和公司IP，开发人员现在是一个非常有价值的目标。”

这已经不是第一次了，IO已经成为供应链攻击的目标。2022年5月，“哨兵一号”(SentinelOne)揭发了一场名为“CrateDepression”的运动，利用这种技术窃取敏感信息并下载任意文件。

这一消息曝光之际，该公司还披露了一个名为“电子邮件”的NPM包。该软件包一旦安装，就会建立一个回调机制，将机器信息提取到远程服务器，并启动加密的二进制文件，这些二进制文件是作为复杂攻击的一部分随附的。

该模块被宣传为“针对不同格式验证电子邮件地址的JavaScript库”，已被npm下架，但自2023年8月24日上传到存储库以来，已吸引了707次下载。

该公司表示：“试图通过HTTP进行数据外泄，如果失败，攻击者将恢复到通过DNS外泄数据。”二进制文件部署了渗透测试工具，如dnscat2、mettle和Cobalt Strike Beacon。”

“运行npm install这样一个简单的操作就能引发这一复杂的攻击链，这使得开发人员在进行软件开发活动时必须保持谨慎和尽职调查。”

在Python Package Index（PyPI）上也发现了恶意软件包，它们试图从受感染的系统中窃取敏感信息，并从远程服务器下载未知的第二级有效载荷。