恶意npm包利用镜像文件隐藏后门代码

聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

安全研究员在 npm 包注册表中发现了两个恶意包可隐藏后门代码，执行从远程服务器发送的恶意命令。

这些程序包 img-aws-s3-object-multipart-cope 和 legacyaws-s3-object-multipart-copy 的下载量分别为190次和48次。在本文写作时它们已被 npm 安全团队拿下。

软件供应链安全公司 Phylum 分析指出，“它们包含了隐藏在镜像文件中的复杂命令和控制功能，而这些镜像文件会在包安装过程中执行。”这些包旨在模拟合法npm库 aws-s3-object-multipart-copy，但替换了 “index-js” 文件版本以执行 JavaScript 文件 “loadformat.js”。该JavaScript 文件旨在处理两个镜像（Intel、微软和AMD的企业标识），其中与微软标识对应的镜像用于提取和执行恶意内容。

该代码通过发送主机名和操作系统详情，以C2服务器注册新客户端，之后每隔五秒来执行由攻击者发布的命令。在最后阶段，该命令执行的输出被通过特定端点提取返回给攻击者。

Phylum 公司表示，“在最后几年中，我们看到发布到开源生态系统中的恶意包的复杂度和体量都急剧增长。这些攻击者如果不犯错的话就是成功的。开发人员和组织机构意识到这个问题的存在至关重要，而且应警惕自己所使用的开源库。”

代码卫士试用地址：https://codesafe.qianxin.com

开源卫士试用地址：https://oss.qianxin.com

推荐阅读

NPM恶意包利用招聘诱骗开发人员安装恶意软件

软件供应链投毒 — NPM 恶意组件分析（二）

朝鲜黑客被指利用恶意 npm 包攻击开发人员

NPM 恶意包通过 GitHub 提取数百个开发者SSH密钥

NPM 注册表恶作剧导致开发人员无法取消发布程序包

原文链接

https://thehackernews.com/2024/07/malicious-npm-packages-found-using.html