微软发现恶意 npm 软件包,可从 UNIX 系统窃取数据

白开水不加糖
 白开水不加糖
发布于 2020年01月14日
收藏 4

Microsoft 的漏洞研究团队在 npm(Node Package Manager) 存储库中发现了一个恶意 JavaScript 程序包,可从 UNIX 系统窃取敏感信息。

该恶意软件包名为 1337qq-js,于 2019 年 12 月 30 日上传到 npm 存储库中。目前,该恶意软件包已被 npm 的安全团队删除。在此之前,该软件包至少被下载了 32 次。

根据 npm 安全团队的分析,该软件包通过安装脚本来泄漏敏感信息,并且仅针对 UNIX 系统。

它收集的数据类型包括:

  • 环境变量
  • 运行过程
  • / etc / hosts
  • 优名
  • npmrc文件

其中,窃取环境变量则被视为重大安全漏洞。npm 团队建议所有在其项目中下载或使用此 JavaScript 程序包的开发人员从其系统中删除该程序包,并轮换使用任何 compromised 的凭据。

事实上,这是恶意软件包第六次被放入 npm 存储库索引,此前的五次分别为:

  • 2019 年 6月 -黑客将电子本地通知库进行后门操作,以插入到达 Agama 加密货币钱包的恶意代码。
  • 2018 年11月 -一名黑客借壳了the event-stream npm 程序包,以将恶意代码加载到 BitPay Copay 桌面和移动钱包应用程序内部,并窃取加密货币。
  • 2018 年 7月 -黑客利用旨在窃取其他开发人员的 npm 凭据的恶意代码破坏了 ESLint 库。
  • 2018年 5月 -黑客试图在名为 getcookies 的流行 npm 包中隐藏后门。
  • 2017 年 4月 -黑客利用敲诈手段在 npm 上载了 38 个恶意 JavaScript 库,这些库被配置为从使用它们的项目中窃取环境细节。

参考消息:ZDNet

本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创开源社区。
转载请注明:文章转载自 OSCHINA 社区 [http://www.oschina.net]
本文标题:微软发现恶意 npm 软件包,可从 UNIX 系统窃取数据
加载中

精彩评论

手握华为赛神仙
手握华为赛神仙
那32次是其他镜像库同步的次数吧。。不然这种奇葩名字的库有谁用

最新评论(9

火眼金睛容嬷嬷
火眼金睛容嬷嬷
优名。。。。
icoffin
icoffin
其实对这种仓库机制一直很反感。因为你所使用的包不可控。你根本不可能每个依赖包都把代码通读。不过好处是方便且增加了职位。哈哈😄
zhuzhu0330
zhuzhu0330
靠⊙∀⊙!
RYAN___
RYAN___
npm安全性堪忧啊
依剑_听雨
依剑_听雨
几乎所有都避免不了。 目前漏洞最多的是 java 的,其次是js的
liming0101
liming0101
java一脸懵逼
依剑_听雨
依剑_听雨
https://www.jianshu.com/p/5501d18db428
maven 第一, npm 第二。 语言后面少加了 生态俩字
abcbuzhiming
abcbuzhiming
你给我举几个java依赖包里故意放恶意代码的。有漏洞和有恶意代码是两回事好吗?
手握华为赛神仙
手握华为赛神仙
那32次是其他镜像库同步的次数吧。。不然这种奇葩名字的库有谁用
返回顶部
顶部