聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
这些程序包 img-aws-s3-object-multipart-cope 和 legacyaws-s3-object-multipart-copy 的下载量分别为190次和48次。在本文写作时它们已被 npm 安全团队拿下。
软件供应链安全公司 Phylum 分析指出,“它们包含了隐藏在镜像文件中的复杂命令和控制功能,而这些镜像文件会在包安装过程中执行。”这些包旨在模拟合法npm库 aws-s3-object-multipart-copy,但替换了 “index-js” 文件版本以执行 JavaScript 文件 “loadformat.js”。该JavaScript 文件旨在处理两个镜像(Intel、微软和AMD的企业标识),其中与微软标识对应的镜像用于提取和执行恶意内容。
该代码通过发送主机名和操作系统详情,以C2服务器注册新客户端,之后每隔五秒来执行由攻击者发布的命令。在最后阶段,该命令执行的输出被通过特定端点提取返回给攻击者。
Phylum 公司表示,“在最后几年中,我们看到发布到开源生态系统中的恶意包的复杂度和体量都急剧增长。这些攻击者如果不犯错的话就是成功的。开发人员和组织机构意识到这个问题的存在至关重要,而且应警惕自己所使用的开源库。”
原文始发于微信公众号(代码卫士):恶意npm包利用镜像文件隐藏后门代码
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论