0x00 风险概述
本月,流行的 npm 包“node-ipc”背后的开发人员(RIAEvangelist)发布了该库的恶意版本,可删除俄罗斯和白俄罗斯用户的所有数据并覆盖开发者机器上的所有文件,追踪为CVE-2022-23812,其CVSS评分为9.8。
0x01 攻击详情
node-ipc包是 Vue.js CLI 等库使用的重要软件包,每周下载量超过 100 万次。该恶意代码早在3月7日就由开发人员提交,它会读取系统的外部 IP 地址,并且只会通过覆盖俄罗斯和白俄罗斯用户的文件来删除数据。如果调用此 npm 软件包的任何系统与俄罗斯或白俄罗斯的地理位置相匹配,就会引发严重的供应链安全事件。它凸显了软件供应链面临的一个更大问题:代码中的传递依赖关系会对企业的安全性产生巨大影响。
“node-ipc”中的代码,特别是文件“ssl-geospec.js”中的代码包含base64编码的字符串和混淆策略以掩盖其真正目的。对于位于俄罗斯或白俄罗斯的用户,该代码将用一个心脏表情符号重写系统中存在的所有文件内容。
此外,由于'node-ipc'9.2.2、11.0.0和大于11.0.0的版本在其内部捆绑了peacenotwar模块,因此受影响的用户会看到'WITH-LOVE-FROM-AMERICA.txt'文件在其桌面上弹出 "和平"信息。
恶意node-ipc版本 10.1.1 和10.1.2 在发布后 24 小时内被 npm 删除,但node-ipc版本 11.0.0 及更高版本仍可在 npm 上使用,而这些版本仍然包含将在桌面上创建上述“WITH-LOVE-FROM-AMERICA.txt”文件的peacenotwar模块。
0x02 风险等级
高危。
0x03 影响范围
node-ipc >= 10.1.1
node-ipc < 10.1.3
0x04 安全建议
维护人员已在node-ipc 10.1.3 版本中删除了恶意代码,建议用户自查更新。
0x05 参考链接
https://www.bleepingcomputer.com/news/security/big-sabotage-famous-npm-package-deletes-files-to-protest-ukraine-war/
https://github.com/advisories/GHSA-97m3-w2cp-4xx6
https://securityaffairs.co/wordpress/129174/hacking/node-ipc-npm-package-sabotage.html?
0x06 版本信息
|
版本 |
日期 |
修改内容 |
|
V1.0 |
2022-03-18 |
首次发布 |
0x07 附录
原文始发于微信公众号(维他命安全):【风险通告】开发者发布NPM node-ipc的恶意版本
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论