恶意NPM包在程序员的计算机上打开后门

2020-11-03 22:50:33

NPM安全团队今天从NPM网站上删除了一个恶意JavaScript库,其中包含用于打开程序员计算机后门的恶意代码。

JavaScript库被命名为Twilio-npm,其恶意行为在上周末被Sonatype发现,Sonatype是一家监控公共软件包存储库的公司,将其作为其开发者安全操作(DevSecOps)服务的一部分。

在今天发布的一份官方报告中,Sonatype表示,该库于周五首次发布在NPM网站上,当天被发现,并在NPM安全团队将该软件包列入黑名单后于今天删除。

尽管NPM门户的生命周期很短,但该库被下载了超过370次,并自动包含在通过NPM(节点包管理器)命令行实用程序构建和管理的JavaScript项目中。

发现并分析该库的Sonatype安全研究员AX Sharma表示,在伪造的Twilio库中发现的恶意代码在所有计算机上打开了一个TCP反向外壳,在JavaScript/npm/Node.js项目中下载并导入了该库。

反向外壳打开了到";4.tcp.ngrok[.]io:11425";的连接,等待从该连接接收要在受感染用户计算机上运行的新命令。

NPM安全团队今天表示,任何安装或运行该软件包的计算机都应被视为完全受到攻击,证实了Sonatype的调查。

";NPM团队补充说,存储在该计算机上的所有机密和密钥应该立即从另一台计算机轮换。

这标志着在过去的三个月里,恶意NPM包被第四次重大拆除。

8月下旬,NPM的工作人员删除了一个恶意的NPM(JavaScript)库,该库旨在从受感染的用户的浏览器和不和谐应用程序中窃取敏感文件。

9月,NPM工作人员移除了四个NPM(JavaScript)库,用于收集用户详细信息,并将被盗数据上传到一个公开的GitHub页面。

10月,NPM团队移除了三个NPM(JavaScript)包,这三个包也被发现在开发人员电脑上打开反向外壳(后门)。Sonatype也发现了这三个软件包。与上周末发现的那个不同,这三个操作系统也可以在Windows系统上运行,而不仅仅是类UNIX系统。