写点什么

细思极恐:后门代码被隐藏在 npm 模块中,差点就得逞

  • 2018-05-13
  • 本文字数:1596 字

    阅读完需:约 5 分钟

看新闻很累?看技术新闻更累?试试下载 InfoQ 手机客户端,每天上下班路上听新闻,有趣还有料!

npm Registry 中没有哪个软件包可以以一种触发后门程序的方式使用恶意模块,虽然未发布到 Registry 的应用程序直接使用恶意模块的能力很小,但它超出了我们的分析范围。

初始报告

来自社区的最初报告显示,该软件包 getcookies 潜藏后门程序,而 express-cookies 和 http-fetch-cookies 依赖于 getcookies,而 mailparser 依赖于 http-fetch-cookies。

系统诊断

收到报告后,npm 的安全团队开始对其进行诊断。诊断的目的是确定报告中提到的软件包是否真的含有恶意代码,如果有,其影响的范围将会有多大。

这里不会披露后门程序的所有信息,但我们会给出在审查过程中得到的一些重点信息。

后门程序通过解析用户提供的 HTTP request.headers,寻找专门为后门程序提供三种不同命令的格式化数据。

JSON.stringify(req.headers).replace(/g([a-f0-9]{4})h((?:[a-f0-9]{2})+)i/gi, (o, p, v) => {})

我们可以在这里看到头文件被字符串化,搜索结果的格式为:gCOMMANDhDATAi

可用的控制流代码:

  • 0xfffe- 重置代码缓冲器
  • 0xfffa- 通过调用 vm.runInThisContext 和提供 module.exports、require、req、res 和 next 参数运行缓冲器内的代码。
  • default - 将远程代码加载到内存中运行。

这些控制代码允许攻击者将任意代码输入到正在运行的服务器运行。

除了后门程序代码,这些模块的其他方面也引起我们的关注:

  • 基于反向图像搜索,发布 getcookies 的用户上的配置文件图像看起来像是一张股票照片。
  • GitHub 用户链接的这些 npm 包是在三月份创建的。
  • getcookies、express-cookies 和 http-fetch-cookies 的下载次数在几个星期前激增,这似乎与依赖于 http-fetch-cookie 的 mailparser 版本相关。

模块的依赖关系

虽然 mailparser 已被弃用,但 mailparser 每周的下载量仍能达到 64,000 次,经过调查,我们发现已发布的依赖于 http-fetch-cookies 的 mailparser 版本并未以任何方式使用过该模块,从而消除了后门程序所带来的风险。我们推测,mailparser 所需的 http-fetch-cookies 会在将来发动攻击或者为了增加 express-cookies 的下载次数而增加其合法性。

因此,mailparser 用户在过去没有受到影响,只有直接需要和使用 express-cookies 或 getcookies 软件包的用户才会受到影响。

采取的行动

对此,npm 官方采取了如下措施:

  • 删除了 dustin87 用户和撤销发布 getCookies,express-cookies 和 http-fetch-cookies;
  • 删除了依赖于 http-fetch-cookies 模块的 3 个 mailparser 版本;
  • 重置 mailparser 作者的 npm tokens 以防止未经授权的发布。

如何看待这次事件

早在 2017 年 8 月,npm 团队就曾删除了 38 个 JavaScript npm 软件包,这些包在受感染的项目中被盗取了环境变量。而目前,npm Registry 已经拥有将近 70 万个软件包和 1000 万用户,这足以吸引攻击者们的注意。

npm 官方似乎也意识到了问题的严重性,他们最近也开始进行了一些行动,上个月,npm 收购了 ^ Lift Security 和 Node Security Platform,并将 Baldwin 并入 npm 团队中,致力于解决 npm Registry 和 npm 应用程序的安全问题。同时,他们在最近新发布的 npm 6 中也加入了安全功能,如安装不受信任或易受攻击的模块时,系统会自动发出警报。

原文链接

https://blog.npmjs.org/post/173526807575/reported-malicious-module-getcookies

前端之巅

「前端之巅」是 InfoQ 旗下关注大前端技术的垂直社群。紧跟时代潮流,共享一线技术,欢迎关注。

活动推荐

PWA、Web 框架、UI 与动画、Node… 大前端的下一站在哪里?前端工程师的价值和成长路径是什么?GMTC2018 上,来自 Google、Facebook、BAT 等 60+ 国内外一线前端大牛,将与你面对面探讨大前端领域最新技术趋势和实践,想要升职加薪就快来吧!扫描下方二维码或点击“阅读原文”了解更多大会详情!

目前大会 8 折热销中,团购更优惠,购票咨询:18514549229(同微信)

2018-05-13 19:002868
用户头像

发布了 83 篇内容, 共 49.7 次阅读, 收获喜欢 187 次。

关注

评论

发布
暂无评论
发现更多内容

10分钟了解Flink Watermark水印

程序员半支烟

Java 大数据 flink 程序员

DFS算法解析

数新网络官方账号

算法 DFS 深度优先搜索

直播源码硬核技术分析:主播PK功能

山东布谷网络科技

直播源码

夹具、治具、模具零件加工|云MES系统解决方案

万界星空科技

开源 解决方案 MES系统

桌面应用打包:pyinstaller | 京东物流技术团队

京东科技开发者

Python pyinstaller 桌面应用 企业号 8 月 PK 榜

关于ANCE OS兼容性评估 & Linux智能全栈调优KeenTune介绍 | 第 93-94 期

OpenAnolis小助手

QA sig 龙蜥大讲堂 KeenTune ANCE

以数驱动 | 智能分析云助力流程制造行业绿色高效运营

用友BIP

智能分析

redis 和 memcached 有什么区别?redis 的线程模型是什么?为什么 redis 单线程却能支撑高并发?

java易二三

redis 编程 程序员 面试 计算机

火山引擎DataLeap数据质量动态探查及相关前端实现

字节跳动数据平台

大数据 数据中台 数据治理 数据安全 企业号 8 月 PK 榜

科兴未来|2023“数智未来,聚放神采”医疗科技创新挑战赛

科兴未来News

什么是数字化管理,对企业价值几何?

优秀

数字化转型 数字经济 数字化管理

堡垒机-企业最好的家人,信息安全的守门人

行云管家

互联网 网络安全 信息安全 堡垒机

R2在全渠道业务线的落地 | 京东云技术团队

京东科技开发者

测试 质量 企业号 8 月 PK 榜 R2

MySQL 体系结构

红袖添香

MySQL 存储引擎 InnoDB存储引擎

MySQL事务ACID原理

红袖添香

MySQL 数据库 事务 ACID MySQL InnoDB

5 小时玩转阿里云 Flink 实时湖仓,速速报名!

Apache Flink

大数据 flink 实时计算

《这就是ChatGPT》读后感

叶轩子

人工智能 深度学习 ChatGPT

融云荣登36氪WISE2023「全球化最佳基础设施」榜单

融云 RongCloud

全球化 通信 运营 融云 wise

一条SQL如何被MySQL架构中的各个组件操作执行的?

砖业洋__

MySQL MySQL架构 MySQL优化器 MySQL执行器 MySQL存储引擎

面向万物智联的应用框架的思考与探索

OpenHarmony开发者

OpenHarmony

一文详解TextBrewer

华为云开发者联盟

人工智能 华为云 华为云开发者联盟 企业号 8 月 PK 榜

HDC 2023丨以HarmonyOS技术赋能艺术,引领鸿蒙生态媒体体验升级

最新动态

从源码层面深度剖析Spring循环依赖 | 京东云技术团队

京东科技开发者

spring 源码剖析 循环依赖 @Bean 企业号 8 月 PK 榜

InnoDB 单表数据量超过 2000W 出现性能问题

红袖添香

MySQL innodb 索引 B+树 缓冲池

LMOps 工具链与千帆大模型平台

Baidu AICLOUD

LLMOps 大模型微调 千帆大模型平台 LMops

在langchain中使用自定义example selector

程序那些事

程序那些事 大语言模型 langchain

利用uplugin对比Webpack和Rollup插件系统

OpenTiny社区

前端

线程池-从零到一了解并掌握线程池

派大星

线程池 Java 面试题

服装行业多模态算法个性化产品定制方案 | 京东云技术团队

京东科技开发者

数据化 AIGC GPT 企业号 8 月 PK 榜

深入理解 HDFS(四):Socket

冰心的小屋

hdfs NameNode IPC Server HDFS client 通信渠道

细思极恐:后门代码被隐藏在npm模块中,差点就得逞_语言 & 开发_覃云_InfoQ精选文章