微软发现窃取 UNIX 系统数据的恶意 npm 包

Posted 2021-04-30 代码卫士

聚焦源代码安全，网罗国内外最新资讯！

编译：奇安信代码卫士团队

javascript 生态系统事实上的数据包管理器 npm 的安全团队刚刚下架了一款被指窃取 UNIX 系统敏感信息的恶意数据包。

该恶意数据包被称为 1337qq-js，在2019年12月30日被上传到 npm仓库。 该数据包至少被下载了 32次，之后被微软漏洞研究团队发现。

Npm安全团队分析表示，该数据包通过安装脚本提取敏感信息，且仅针对UNIX 系统。 该恶意数据包提取的信息包括：

• 环境变量
• 运行进程
• /etc/hosts
• Uname-a
• Npmrc 文件

窃取环境变量被视为重大安全泄露事件，因为某些信息如硬编码密码或API 访问令牌通常在某些JavaScript web 或移动应用中被存储为环境变量。

Npm 团队建议所有在项目中下载或使用该 JavaScript 数据包的开发人员从系统中删除该数据包并更换已遭攻陷的凭证。

这是恶意数据包第六次出现在npm 仓库索引中，不过本案例是最不严重的一次，主要原因是微软安全分析师在它上线两周后就将其捕获，不至于造成严重后果。

此前出现的恶意npm 数据包事件包括：

• 2019年6月： 一名黑客在 npm 库上安装后门插入恶意代码，触及 Agama 密币钱包。
• 2018年11月： 一名黑客在 npm 库上安装后门，在 BitPay Copay 桌面和和移动钱包应用中加载恶意代码并窃取密币。
• 2018年7月： 黑客通过恶意代码攻陷 ESLint 库，该恶意代码旨在窃取其他开发人员的npm 凭证。
• 2018年5月： 黑客试图在流行的 npm 数据包中隐藏名为 getcookies 的后门。
• 2017年4月： 黑客通过误植域名的方法将 38个恶意 JavaScript 库上传到 npm 上，数据包被配置为从相关项目中窃取环境详情。
  
  
  来呀，一起玩耍呀~

推荐阅读

原文链接

https://www.zdnet.com/article/microsoft-spots-malicious-npm-package-stealing-data-from-unix-systems/

题图：Pixabay License

本文由奇安信代码卫士编译，不代表奇安信观点，转载请注明“转自奇安信代码卫士 www.codesafe.cn”

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

 点个“在看”，bounty 多多~