AICon上海|与字节、阿里、腾讯等企业共同探索Agent 时代的落地应用 了解详情
写点什么

NPM 移除 4 个恶意软件包:泄露用户数据已有数月,4 个包分工明确

  • 2020-10-24
  • 本文字数:1362 字

    阅读完需:约 4 分钟

NPM 移除 4 个恶意软件包:泄露用户数据已有数月,4 个包分工明确

近日,NPM 移除了多个托管在其仓库中的包,原因是这些包会向远程服务器建立连接并泄露用户数据。


这 4 个包在过去几个月中累计有超过 1000 次下载,直到 10 月 15 日被 NPM 移除。


这 4 个包是:


  1. plutov-slack-client- manifest 中的信息声称是一个“Node.JS Slack 客户端”。

  2. nodetest199- 没有描述。

  3. nodetest1010- 没有描述。

  4. npmpubman- manifest 中的信息声称是“一个关于 Linux shell 登录的简单实现”。

向攻击者的服务器建立一个反向 shell

尽管恶意软件已经被 NPM 曝光和移除,但我依然从 Sonatype 的自动恶意软件检测系统档案中获得了这些包的源代码,就像它曾经在 NPM 下载时一样。


前 3 个包 plutov-slack-client、nodetest1010 和 nodetest199 共享相同的代码。


这些包中包含的非常简单的代码能够在 Windows 和基于 Unix 的系统上运行。


用户安装了这些包之后,这些包的代码会向攻击者的服务器建立一个反向 shell,允许攻击者能够远程访问受害机器。



前 3 个包 (plutov-slack-client, nodetest1010, and nodetest199) 向攻击者的服务器建立了一个反向 shell

来源:BleepingComputer



在这里我发现了一个关键的点,那就是尽管这 3 个包共享相同的代码,但这 3 个包所包含的 manifest 文件(package.json)中关于作者介绍和他们的 GitHub 简介的元数据却完全不同。


很可能,packge.json 中的数据是恶意软件的作者伪造的,或者恶意软件使用属于不同受害开发者的 GitHub 和 npm 账号发布了这些恶意软件包。

向一个远程服务器上传用户数据

列表中的最后一个包 npmpubman 的代码结构和目标完全不同。


它从环境变量收集用户数据,并将这些信息发送到一个远程主机。


由 NodeJS process.env 提供的环境信息会暴露开发者环境的敏感信息,例如 PATH 变量、数据库服务器、端口、API 密钥等等。



恶意软件 NPM 包 npmpubman 向一个远程服务器泄露环境变量

来源: BleepingComputer



尽管 package.json 文件中提供的数据冲突,但很可能这 4 个软件包都是由相同的攻击者创建的。


在实际的场景中,npmpubman 可以被攻击者当作“侦查工具”来使用,收集系统信息,而其它包则是负责在攻击者和受害者的计算机之间建立一个直接连接。


正如 BleepingComputer 观察到的,与这 4 个包有关的不同的 NPM 作者账户已经被 npm 关闭了。然而,开发人员的 GitHub 仓库并没有显示最近托管包的痕迹,尽管 package.json 文件表明了这种可能性。


渗透到开源生态系统中的恶意软件案例一直在增加。就在上个月,我在博客上写了一篇关于 npm 恶意软件 的博文,这些恶意软件没有被发现,一直在公共 GitHub 页面上实时发布用户信息。


通过利用开源社区的信任,攻击者可以将其恶意代码“下流”到任何可能错误地将这些恶意软件包作为依赖包含在他们的应用程序中的开发人员或客户。


Sonatype 在他们的十月份恶意软件包清单中对这些包进行了说明,并追踪到 sonatype-2020-1013。


作者介绍:


Ax Sharma 是一名安全研究员、工程师和技术专栏作家。他的作品和专业分析经常被头部媒体发表,例如 Fortune、The Register、TechRepublic、CIO 等等。Ax 的专长在于漏洞研究、逆向工程、软件开发和 web 应用程序安全。他是 OWASP 基金会和英国记者协会(BAJ)的一名活跃社区成员。


原文链接:


https://www.bleepingcomputer.com/news/security/npm-nukes-nodejs-malware-opening-windows-linux-reverse-shells


2020-10-24 09:002418

评论

发布
暂无评论
发现更多内容

Screen Recorder by Omi Mac(Omi录屏专家‬)v1.3.14激活版

Rose

《Operating System Concepts》阅读笔记:p228-p257

codists

操作系统

首次覆盖超 11 类真实编程场景!豆包大模型团队开源代码大模型全新基准

火山引擎开发者社区

编程 大模型 豆包

DiskSlim - Disk Cleanup Pro for Mac(Mac磁盘优化清理工具)v12.1.6激活版

Rose

AI测试实战:从代码扫描到缺陷预测,如何实现90%覆盖率跃升?

测试人

人工智能 软件测试

面试官:在项目中用过责任链模式吗?

Geek_e3e86e

编程 计算机

Boxy SVG for Mac(矢量图编辑器)v4.57.3

Rose

FoneLab Video Converter Ultimate for mac(视频格式转换器)v9.2.66中文

Rose

Pixelmator Pro for Mac(媲美PS的修图软件)v3.6.17中文激活版

Rose

Termius for mac(终端模拟器/SSH/SFTP客户端)v9.16激活版

Rose

CAD怎么偏移图形对象?详细教程来了!

在路上

cad cad看图 CAD看图王

从政府工作报告看北斗应用发展方向

江湖老铁

当代企业财务规划新方式:从风险管理转向长期可持续发展

智达方通

企业管理 全面预算管理 财务转型 财务规划 财务预测

培训讲师管理系统(源码+文档+讲解+演示)

深圳亥时科技

Modern CSV for Mac(CSV编辑器/查看器)v2.2.1激活版

Rose

GM EPUB Reader Pro for Mac(专业ePub阅读神器)v2.8.0激活版

Rose

特斯拉、宇树、Figure AI核心供应链企业梳理与商业化壁垒,「汇丰银行」人形机器人研报解读

机器人头条

机器人 科技 人形机器人 具身智能

DeepSeek的开源之路:一文读懂从V1-R1的技术发展,见证从开源新秀到推理革命的领跑者

京东科技开发者

"打通设计与研发效率最后一公里”-云事业部前端团队 D2C/C2D落地经验分享

京东科技开发者

不小心清理了CAD图纸,应该怎么找回呢?

在路上

cad cad看图 CAD看图王

团队协作的痛点:如何破解项目中任务责任不明确的困局

axe

项目管理 项目管理软件 项目协作 项目协作工具 办公工具

数字水印系统(源码+文档+讲解+演示)

深圳亥时科技

何必舍近求远 计算工厂帮你一键部署DeepSeek云主机

京东科技开发者

Allavsoft Video Downloader Converter(视频下载和格式转换)

Rose

Easydict for mac(简洁的翻译工具)v2.12.0激活版

Rose

DeepSeek们,会让文科无用吗?

脑极体

AI

IPv6改造:翻译技术的原理和优缺点分析

国科云

如何保障 MySQL 和 Redis 的数据一致性?4种缓存同步策略+真实业务场景详解,建议收藏

Fox666

MySQL redis 面试 美团 大厂面试

Professional Recorder Editor for Mac(专业录音和编辑软件)v7.0.4免激活版

Rose

NPM 移除 4 个恶意软件包:泄露用户数据已有数月,4 个包分工明确_大前端_Ax Sharma_InfoQ精选文章