恶意 npm 软件包攻击 Linux 开发人员以安装 SSH 后门

一种令人担忧的新型供应链攻击已经出现，其目标是与 Telegram 机器人生态系统合作的 Linux 开发人员。

2025 年初发现，多个恶意 npm 包伪装成合法的Telegram 机器人库，以提供 SSH 后门并从毫无戒心的开发人员那里窃取敏感数据。

这些域名抢注的软件包在几个月内累计下载量约为 300 次，尽管安装次数相对较少，但却构成了重大的安全威胁。

此次攻击专门针对广泛使用的 node-telegram-bot-api 库，该库的下载量已超过 417 万次。

恶意变体 node-telegram-utils、node-telegram-bots-api 和 node-telegram-util 看起来与合法软件包几乎完全相同，复制了其文档、功能，甚至链接回拥有 19,000 多颗星的真实 GitHub 存储库，以提高可信度并欺骗开发人员。

Socket.dev 的研究人员发现，这些软件包实施了一种复杂的“starjacking”技术，它们将其主页链接回合法的 GitHub 存储库，以借用原始项目的声誉来获取信任。

这种欺骗使得恶意包在随意检查时特别难以识别，因为它们显示的星数与合法库相同。

在 Linux 环境中安装后，恶意软件包会addBotId()在调用构造函数时自动执行一个隐藏函数。

该函数执行平台检查，如果检测到 Linux，则继续执行其恶意负载，而无需任何用户交互。

此次攻击专门针对在项目设置或维护期间频繁安装 npm 包的开发人员环境。

该恶意软件的关键功能在于其SSH 后门实现。

在 Linux 系统上执行时，恶意代码会通过附加攻击者控制的 SSH 密钥来修改 ~/.ssh/authorized_keys 文件，从而创建一个在软件包删除后依然有效的持久访问通道。

该代码不仅注入多个 SSH 密钥以实现冗余访问，还将受害者的 IP 地址和用户名泄露到 solana[.]validator[.]blog 的命令和控制服务器，从而允许攻击者清点受感染的系统以进行进一步利用或数据窃取。

技术报告：

https://socket.dev/blog/npm-malware-targets-telegram-bot-developers

新闻链接：

https://cybersecuritynews.com/malicious-npm-packages-attacking-linux-developers/

讲述普通人能听懂的安全故事