导 读
Aikido Security的研究人员发现了一种针对 NPM 的新型供应链攻击,危及了 16 个流行的 Gluestack“react-native-aria”包,每周下载量超过 95 万次。
未经授权的访问随后可用于执行各种后续操作,例如挖掘加密货币、窃取敏感信息,甚至关闭服务。
Aikido 表示,第一次软件包泄露事件于格林威治标准时间 2025 年 6 月 6 日晚 9:33 被发现。
注入到软件包中的恶意代码与上个月另一个 npm 软件包“rand-user-agent”被攻陷后传播的远程访问木马类似,这表明该活动背后可能有相同的威胁组织。
该木马是更新版本,支持两个新命令来收集系统信息(“ss_info”)和主机的公共IP地址(“ss_ip”)。
项目维护人员已撤销访问令牌,并将受影响的版本标记为已弃用。建议可能下载了恶意版本的用户回滚到安全版本,以减轻任何潜在威胁。
该公司在一份声明中表示:“潜在影响规模巨大,恶意软件的持久机制尤其令人担忧——即使在维护人员更新软件包后,攻击者仍然可以访问受感染的机器。”
npm 上发现的恶意软件包释放出破坏性功能
Socket 发现了两个恶意 npm 包 - express-api-sync 和 system-health-sync-api - 它们伪装成合法实用程序,但植入了可以删除整个应用程序目录的擦除器。
两个软件包中的第一个是 express-api-sync,它声称是一个用于在两个数据库之间同步数据的 Express API。然而,一旦毫无戒心的开发人员安装并添加到他们的应用程序中,它就会在收到带有硬编码密钥“DEFAULT_123”的 HTTP 请求时触发恶意代码的执行。
收到密钥后,它会执行 Unix 命令“rm -rf *”以递归方式删除当前目录及以下的所有文件,包括源代码、配置文件、资产和本地数据库。
另一个软件包则更加复杂,既可以充当信息窃取程序,又可以充当擦除器,同时还可以根据操作系统是 Windows(“rd /s /q .”)还是 Linux(“rm -rf *”)来修改其删除命令。
详见技术报告:
https://www.aikido.dev/blog/supply-chain-attack-on-react-native-aria-ecosystem
新闻链接:
https://thehackernews.com/2025/06/new-supply-chain-malware-operation-hits.html
扫码关注
军哥网络安全读报
讲述普通人能听懂的安全故事
原文始发于微信公众号(军哥网络安全读报):新的供应链攻击针对npm和PyPI生态系统,周下载量近百万次
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论