Infostealer 活动入侵 10 个 npm 软件包，以开发人员为目标

2025年4月1日10:22:07评论8 views字数 682阅读2分16秒阅读模式

昨天，十个 npm 包突然被更新为恶意代码，以窃取开发人员系统中的环境变量和其他敏感数据。

该活动针对多个与加密货币相关的软件包，其中流行的“国家货币地图”软件包每周被下载数千次。

该恶意代码是由 Sonatype 研究员 Ali ElShakankiry 发现的，存在于两个高度混淆的脚本“/scripts/launch.js”和“/scripts/diagnostic-report.js”中，这两个脚本在软件包安装时执行。

Sonatype 表示，JavaScript 会窃取设备的环境变量并将其发送到远程主机“eoi2ectd5a5tn1h.m.pipedream(.)net)”。环境变量通常是攻击目标，因为它们可能包含 API 密钥、数据库凭据、云凭据和加密密钥，可用于进一步攻击。

正如 Sonatype 恶意软件分析师兼 BleepingComputer 记者 Ax Sharma 在一篇文章中所解释的那样，由于所有存储库中的恶意代码都是相同的，并且大多数存储库多年来都没有记录，因此它们很可能以某种方式受到了损害。

Sonatype 报告称：“我们推测劫持的原因是旧的 npm 维护者帐户通过凭证填充（即威胁行为者重试以前泄露的用户名和密码来危害其他网站上的帐户）或过期域名接管遭到入侵 —— 这两种常见情况均在 npm 文档中进行了解释。 ”

考虑到不同维护者对多个软件包同时发起攻击，与精心策划的网络钓鱼攻击相比，第一种情况（维护者账户接管）似乎更有可能发生。

信息来源： BleepingComputer

原文始发于微信公众号（犀牛安全）：Infostealer 活动入侵 10 个 npm 软件包，以开发人员为目标

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

你的联网设备可能并不像想象中那么安全