Npm 库XMLRPC 插入恶意代码，窃取数据部署密币矿机

该程序包名为 @0xengine/xmlrpc，最初在2023年10月2日作为针对 Node.js的基于 JavaScript 的 XML-RPC 服务器和客户端发布。截止目前该库的下载量已达1790次，且目前仍可从仓库中下载。

发现该程序包的网络安全公司 Checkmarx表示，该恶意代码在1.3.4版本中引入，利用相关功能每隔12小时收割一次有价值的信息如 SSH 密钥、bash历史、系统元数据和环境变量，并通过 Dropbox 和 file.io 等服务提取这些信息。

研究员 Yehuda Gelb 在本周发布的一份技术报告中提到，“该攻击通过多个向量实现了分发：直接的npm 安装和作为看似合法的仓库中的隐藏依赖关系。”第二种方法涉及名为 “yawpp（全称为“Yet Another WordPress Poster”）”的GitHub 项目仓库，旨在WordPress 平台上以编程的方式创建帖子。

该 “package.json” 文件将 @0xengine/xmlrpc 的最新版本作为依赖列出，从而让用户尝试在系统上设置 yawpp 工具时，自动下载和安装该恶意 npm 包。

目前尚不清楚该工具的的开发者是否故意将该包添加为依赖。截止本文发布时，该仓库仅被fork过一次。无需多言，由于这种方式利用了用户对包依赖的信任，因此是另外一种有效的恶意软件分发方式。

一旦被安装后，该恶意软件就会收集系统信息、通过systemd 设立在主机上的持久性，并部署 MMRig 密币挖矿机。目前发现通过攻击者门罗钱包积极挖掘密币的受陷系统已达到68个。

另外，该包不断监控正在运行的进程，检查多种命令是否存在如 top、iostat、sar、glances、dstat、nmon、vmstat和ps，并终止所有与挖矿相关的流程。如检测到用户活动，它还会暂停挖矿操作。

Gelb表示，“这一发现提醒我们程序包的存在时长以及不间断的维护历史并无法保证它的安全性。不管恶意包或合法包最初是否是通过更新攻陷的，该软件供应链要求我们保持警惕，在最初审计和在包的生命周期中都应该保持警惕。”

不久前，Datadog Security Lab发现一起针对 Windows 用户的恶意活动，它利用上传到 npm 和 PyPI 的伪造包，部署开源的窃取恶意软件 Blacnk-Grabber和 Skuld Stealer。该公司在上个月检测到这起供应链攻击事件，将威胁组织命名为 “MUT-8694”（MUT即“神秘的未知威胁”），表示与Socket 公司在本月早些时候检测到的一起攻击活动之间存在关联，当时该攻击通过同样的恶意软件感染 Roblox 用户。

多达18和39个恶意唯一包被分别上传到 npm 和 PyPI 仓库中，企图通过 typosquatting 技术伪装成合法包通过检查。研究人员提到，“使用无数程序包和多个恶意用户，表明 MUT-8694意志坚定地攻陷开发人员。与 PyPI 生态系统不同，多数 npm 包都引用了在线游戏创建平台 Roblox，这说明威胁行动者一直都在有意针对 Roblox 开发人员。”