新的供应链攻击针对npm和PyPI生态系统,周下载量近百万次

admin 2025年6月10日01:56:47评论8 views字数 1093阅读3分38秒阅读模式

导 

Aikido Security的研究人员发现了一种针对 NPM 的新型供应链攻击,危及了 16 个流行的 Gluestack“react-native-aria”包,每周下载量超过 95 万次。

新的供应链攻击针对npm和PyPI生态系统,周下载量近百万次

未经授权的访问随后可用于执行各种后续操作,例如挖掘加密货币、窃取敏感信息,甚至关闭服务。

Aikido 表示,第一次软件包泄露事件于格林威治标准时间 2025 年 6 月 6 日晚 9:33 被发现。

注入到软件包中的恶意代码与上个月另一个 npm 软件包“rand-user-agent”被攻陷后传播的远程访问木马类似,这表明该活动背后可能有相同的威胁组织。

该木马是更新版本,支持两个新命令来收集系统信息(“ss_info”)和主机的公共IP地址(“ss_ip”)。

项目维护人员已撤销访问令牌,并将受影响的版本标记为已弃用。建议可能下载了恶意版本的用户回滚到安全版本,以减轻任何潜在威胁。

该公司在一份声明中表示:“潜在影响规模巨大,恶意软件的持久机制尤其令人担忧——即使在维护人员更新软件包后,攻击者仍然可以访问受感染的机器。”

npm 上发现的恶意软件包释放出破坏性功能

Socket 发现了两个恶意 npm 包 - express-api-sync 和 system-health-sync-api - 它们伪装成合法实用程序,但植入了可以删除整个应用程序目录的擦除器。

新的供应链攻击针对npm和PyPI生态系统,周下载量近百万次

两个软件包中的第一个是 express-api-sync,它声称是一个用于在两个数据库之间同步数据的 Express API。然而,一旦毫无戒心的开发人员安装并添加到他们的应用程序中,它就会在收到带有硬编码密钥“DEFAULT_123”的 HTTP 请求时触发恶意代码的执行。

收到密钥后,它会执行 Unix 命令“rm -rf *”以递归方式删除当前目录及以下的所有文件,包括源代码、配置文件、资产和本地数据库。

另一个软件包则更加复杂,既可以充当信息窃取程序,又可以充当擦除器,同时还可以根据操作系统是 Windows(“rd /s /q .”)还是 Linux(“rm -rf *”)来修改其删除命令。

详见技术报告:

https://www.aikido.dev/blog/supply-chain-attack-on-react-native-aria-ecosystem

新闻链接:

https://thehackernews.com/2025/06/new-supply-chain-malware-operation-hits.html

新的供应链攻击针对npm和PyPI生态系统,周下载量近百万次

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事

原文始发于微信公众号(军哥网络安全读报):新的供应链攻击针对npm和PyPI生态系统,周下载量近百万次

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年6月10日01:56:47
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   新的供应链攻击针对npm和PyPI生态系统,周下载量近百万次http://cn-sec.com/archives/4148559.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息