btwiuse 在 NPM 仓库中发布后门组件

来源: 投稿
2022-07-05 12:26:00

报告来源:OSCS开源安全社区

更新日期:2022-07-04

事件简述

NPM 是 Node.js 包管理工具,提供了对第三方 Node.js 包的查找、下载、安装、卸载等功能。

2022 年 07 月 04 日,OSCS 监测发现 NPM 官方仓库被 btwiuse 上传了 btwiuse、k0s 恶意组件包,使用恶意组件包后会在用户电脑上加载名为 k0s 的远控木马,危害较为严重,OSCS 提醒广大开发者关注。

详细分析

以 k0s 组件为例,其目录结构如下:

index.js
package.json

引入该组件后会执行远控木马程序,危险代码存在于 package.json 与 index.js 文件中。

恶意代码如下:

进行代码溯源可发现会安装如下地址的远程控制服务

https://github.com/btwiuse/k0s.git/

其远控服务端地址如下

https://k0s.io/

OSCS 开源安全社区建议广大用户做好资产自查以及预防工作,以免遭受黑客攻击。

处置建议

OSCS 开源安全社区建议用户通过以下方式排查:

1、使用npm ls或npm ls -g命令查看是否安装恶意组件

2、排查项目 package.json 是否引用恶意组件

具体可参考:

https://www.oscs1024.com/hd/MPS-2022-41934/

时间线

7月1日,攻击者上传了 k0s 的恶意包

7月3日,攻击者上传了 btwiuse 的恶意包

7月4日,OSCS 监测到本次恶意 NPM 包投毒行为,已有服务器被攻击者控制

展开阅读全文
3 收藏
分享
0 评论
3 收藏
分享
返回顶部
顶部