软件供应链管理公司Sonatype报告称，多个用于区块链应用程序开发的NPM包已被劫持，用于传播信息窃取恶意软件。

这些软件包为构建与区块链服务交互的应用程序的开发人员提供了合法功能，但其最新版本包含混淆的脚本，能够从受害者的系统中窃取敏感信息。

这些软件包在其整个生命周期内的总下载次数约为 500,000 次，并且已在NPM注册表中可用多年，其中一个软件包甚至已存在近十年。

然而， Sonatype表示，这些恶意更新是最近发布的，仅在NPM上观察到变化，而 GitHub存储库保持原样。

至少有两个被劫持的软件包“bnb-javascript-sdk-nobroadcast”和“country-currency-map”多年没有发布新版本，但本周 NPM 上出现了包含恶意代码的新版本。

“country-currency-map”的恶意版本在发布后不久就被弃用，维护人员建议使用五年前发布的旧版本。

在这两个软件包中，Sonatype 都识别出了在安装期间运行的高度混淆的脚本，这些脚本会收集敏感信息（例如系统环境变量），这些信息可以存储访问令牌、API 密钥、SSH 凭据和其他数据。

还发现了“@bithighlander/bitcoin-cash-js-lib”、“eslint-config-travix”、“@crosswise-finance1/sdk-v2”、“@keepkey/device-protocol”、“@veniceswap/uikit”、“@veniceswap/eslint-config-pancake”、“babel-preset-travix”、“@travix/ui-themes”和“@coinmasters/types”的恶意版本。

该公司指出，这些劫持行为可能是在旧维护者账户被泄露后通过凭证填充进行的。

Sonatype 指出：“尽管 NPM 在 2022 年要求对高影响力项目进行双因素身份验证 (2FA)（例如，每周下载量达 100 万次或依赖者超过 500 人的 NPM 软件包的作者），但一些作者仍需要注册双因素身份验证。”

— 欢迎关注

原文始发于微信公众号（祺印说信安）：9年历史的NPM加密包被劫持用于窃取信息