恶意 npm 软件包模仿 Telegram Bot API 在 Linux 系统上植入 SSH 后门

恶意 npm 软件包模仿 Telegram Bot API 在 Linux 系统上植入 SSH 后门网络安全研究人员在 npm 注册表中发现了三个恶意包，它们伪装成流行的 Telegram 机器人库，但却隐藏着 SSH 后门和数据泄露功能。

有问题的软件包列表如下：

node-telegram-utils（下载量：132）

node-telegram-bots-api（82 次下载）

node-telegram-util（73 次下载）

据供应链安全公司 Socket 称，这些软件包旨在模仿node-telegram-bot-api，这是一个流行的 Node.js Telegram Bot API，每周下载量超过 10 万次。这三个库仍然可以下载。

安全研究员库什·潘迪亚 (Kush Pandya)表示：“虽然这个数字听起来不大，但只需要一个被破坏的环境就能为大规模渗透或未经授权的数据访问铺平道路。”

“供应链安全事件反复表明，即使是少数安装也可能造成灾难性的后果，尤其是当攻击者直接访问开发人员系统或生产服务器时。”

这些恶意软件包不仅复制了合法库的描述，还利用一种称为starjacking的技术来提高真实性并诱骗毫无戒心的开发人员下载它们。

Starjacking 是指通过链接与合法库关联的 GitHub 仓库，使开源软件包变得比实际更流行的一种方法。这种方法通常利用了软件包与 GitHub 仓库之间不存在的关联验证。

Socket 的分析发现，这些软件包专门设计用于在 Linux 系统上运行，在“~/.ssh/authorized_keys”文件中添加两个 SSH 密钥，从而授予攻击者对主机的持久远程访问权限。

该脚本旨在通过联系“ipinfo[.]io/ip”来收集系统用户名和外部 IP 地址。它还会向外部服务器（“solana.validator[.]blog”）发出信号以确认感染。

这些软件包之所以显得隐蔽，是因为删除它们并不能完全消除威胁，因为插入的 SSH 密钥会授予威胁行为者不受限制的远程访问权限，以便随后执行代码和泄露数据。此次披露之际，Socket 详细介绍了另一个名为@naderabdi/merchant-advcash的恶意程序包，该程序包旨在向远程服务器启动反向 shell，同时伪装成 Volet（以前称为 Advcash）集成。

该公司表示： “软件包@naderabdi/merchant-advcash包含硬编码逻辑，在调用支付成功处理程序时会打开一个指向远程服务器的反向shell 。它伪装成商家接收、验证和管理加密货币或法定货币支付的实用程序。”

与许多在安装或导入期间执行代码的恶意软件不同，此有效载荷会延迟到运行时，具体来说是在交易成功之后。这种方法可能有助于逃避检测，因为恶意代码仅在特定的运行时条件下运行。