npm发现系统级后门包，可一键抹除服务器数据

安全研究人员最近识别出两个 npm 软件包，其行为远超表面声明。它们伪装成系统监控与数据同步工具，实则暗藏破坏性后门，一旦触发，可远程擦除开发者整个应用的所有文件。

据安全公司 Socket 威胁研究团队披露，这两个恶意软件包分别是 express-api-sync 和 system-health-sync-api，均由 npm 账户“botsailer”发布。尽管名称听上去毫无威胁，背后隐藏的代码却揭示了极具危险的意图。

根据该公司向 Hackread.com 分享的技术报告，express-api-sync 表面上是一个用于数据库同步的工具，实际上却会在任何引入它的 Express 应用中注入一个隐藏的 HTTP POST 接口 /api/this/that。该接口在接收到预设密钥 “DEFAULT_123” 时，会立即执行 Unix 命令 rm -rf *，直接删除当前目录下的所有文件，包括源代码、配置文件、用户上传内容及本地数据库等。

这一攻击过程完全静默，无日志、无控制台输出，并且由于使用了空的错误处理逻辑，即使路由注册失败也不会有任何提示。绝大多数开发者在系统被彻底破坏之前可能毫无察觉。

相比之下，system-health-sync-api 的破坏力更强。它构建得更像一个真正的系统监控工具，拥有完整的健康检查机制、SMTP 邮件功能，甚至支持 Express、Fastify 和原生 HTTP 服务。但在背后，它会收集服务器信息（包括主机名、IP、进程ID和环境摘要），并通过电子邮件发送至一个硬编码地址：anupm019@gmailcom。与此同时，它还会记录后端 URL 地址，帮助攻击者绘制服务器架构图。

该包还实现了跨平台的文件删除能力：对于 Unix 系统执行 rm -rf *，对于 Windows 系统则执行 rd /s /q .，这一命令不仅删除文件，还会清空当前目录。更令人担忧的是，该后门可通过两个 POST 接口（/_/system/health 与 /_/sys/maintenance）远程触发，均需配合密钥 “HelloWorld”。表面上这些配置是可自定义的，但默认值保证了攻击者即使开发者未作任何修改也能顺利控制。

邮件服务同时作为远程指令通道：SMTP 凭证虽然被 Base64 编码隐藏在程序中，但极易解码。一旦系统启动，恶意包会尝试连接邮件服务器，验证攻击者控制通道是否在线。

攻击流程在后台悄然展开：首先是通过 GET 请求侦察接口 /_/system/health 返回系统信息；随后可选进行“试运行”，以测试目标是否可控；紧接着是破坏性执行，即 POST 请求加密钥触发全盘删除；最后将详细的服务器指纹信息和后端路径通过邮件发回攻击者。该恶意包甚至会根据密钥是否正确返回不同提示，协助攻击者确认是否成功控制目标。

不同于传统的供应链攻击通常以数据窃取或挖矿为目标，这两个 npm 包更倾向于彻底破坏，说明攻击者的动机从经济利益转向破坏系统、收集基础设施情报、甚至可能用于行业破坏或地缘竞争行为。他们构建的工具可以长时间潜伏，静默收集信息，在毫无预警的情况下发起攻击。

中间件机制的使用进一步加剧了风险。中间件代码在每次请求中都会运行，通常拥有应用内部的全部访问权限。这些恶意包正是利用这一点，悄然嵌入具备完全摧毁能力的路由，极具欺骗性。

Saviynt 公司首席信任官 Jim Routh 就此发表评论称：“这是一起典型的软件供应链攻击，攻击者精心设计伪装，将恶意后门嵌入看似正常的工具中。一旦这些代码被嵌入企业系统，恶意功能即可远程激活。企业应优先提升对软件构建流程的身份访问管理，包括对所有员工与承包方的权限控制。”

安全专家建议，开发与运维团队应立即检查所使用的第三方依赖包，采用具备行为检测功能的扫描工具识别潜在风险，而不仅仅依赖于静态代码分析。传统的安全扫描工具可能无法捕捉这些运行时行为威胁。