Sonatype 研究人员发现并确认了两个新的易受攻击的 npm 软件包。据研究人员介绍,这两个软件包最初由他们的恶意代码自动检测系统 (malicious code detection bots) 发现,这套系统应用了机器学习和人工智能技术,可识别可疑的代码提交、项目更新情况和编码风格,并持续对数百万个开源组件新版本的变更进行评估。在收到检测系统的报警后,其安全研究团队验证了两个 npm 软件包中是否存在恶意代码,并追踪了预期的漏洞利用途径。

这两个软件包分别是:

  • electorn

  • loadyaml

上面两个软件包的作者为同一个人,除此之外,检测系统还发现了这名作者另外两个没有发布到 npm 中央仓库的软件包:

  • loadyml

  • lodashs

可以看到,"electorn"和"lodashs"这两个恶意软件包故意将名字拼写错误(对应的正确名称是“electron”和“lodash”),通过冒充合法的软件包并使不知情的开发者可以下载它们。对于部分无意打错字且毫无戒心的用户,他们便会在其开发环境中安装恶意软件包,而不是最初打算下载的软件包。例如,开发者错将“electron”打成“electorn”。

一旦安装了恶意软件包,它们便会按照固定的时间频率在后台运行收集用户 IP 地址、地理位置数据、用户名、home 目录路径和 CPU 型号信息的脚本。

这些信息的一部分构成了设备的指纹信息,被实时上传并发布在 GitHub 公共页面上。虽然部分信息经过了 base64 编码,但任何人都有权限访问这些信息并且可以十分轻松地将其解码。

Sonatype 安全研究团队向 GitHub 和 npm 反馈了此问题,这些恶意软件包目前已被下架。从发布到被下架,这些软件包的下载量总计超过 400 次:

  • electorn: 255

  • lodashs: 78

  • loadyaml: 48

  • loadyml: 37

目前尚不清楚恶意软件包作者收集这些数据的目的是什么,为什么将其发布在网络上以供全世界查看。然而,像这样的事件凸显了开源生态中 Typosquatting 攻击(误植域名)的潜在威胁。通过欺骗毫无戒备的开发者安装一个拼写错误的软件包,攻击者可以将他们的恶意代码向“下游”推送到任何依赖这些“李鬼软件包”的开源项目,从而形成开源软件供应链攻击。


由于微信平台算法改版,公号内容将不再以时间排序展示,如果大家想第一时间看到我们的推送,强烈建议星标我们和给我们多点点【在看】。星标具体步骤为:(1)点击页面最上方“小詹学Python”,进入公众号主页。
(2)点击右上角的小点点,在弹出页面点击“设为星标”,就可以啦。
感谢支持,比心。

恶意npm包收集用户IP等信息并在GitHub传播相关推荐

  1. 注意!恶意NPM包正在安装勒索软件和密码窃取木马

     聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 两个伪装成 Roblox 库的恶意NPM包正在用户机器上传播勒索软件和密码窃取木马.这两个包是 "noblox.js-proxy&qu ...

  2. 恶意NPM包窃取Discord 令牌和信用卡信息等

     聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 专栏·供应链安全 数字化时代,软件无处不在.软件如同社会中的"虚拟人",已经成为支撑社会正常运转的最基本元素之一,软件的安全 ...

  3. Facebook再次被曝通过至少11款应用收集用户私密信息

    [TechWeb]2月24日消息,据国外媒体报道,Facebook一直在秘密地从一些流行的应用程序中收集大量的个人信息,该公司的行为通常是在用户不知情的情况下. <华尔街日报>的一项调查发 ...

  4. Npm 恶意包试图窃取 Discord 敏感信息和浏览器文件

     聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 npm安全团队从 npm 门户网站中删除了一个恶意 JavaScript 库.该库的目的是为了从受感染用户浏览器和 Discord 应 ...

  5. 阿里云搭建npm私服和上传npm包

    安装verdaccio: npm install -g verdaccio --unsafe-perm 加上--unsafe-perm选项是为了防止gyp ERR! permission denied ...

  6. 200多个恶意NPM程序包针对Azure 开发人员,发动供应链攻击

     聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 专栏·供应链安全 数字化时代,软件无处不在.软件如同社会中的"虚拟人",已经成为支撑社会正常运转的最基本元素之一,软件的安全 ...

  7. 网上银行App登录使用短信验证码,属不属于超范围收集用户信息?

    网上银行App登录该不该用短信验证码? 全国信息安全标准化技术委员会日前公布<信息安全技术 移动互联网应用(App)收集个人信息基本规范(草案)>,面向社会公开征求意见. 该标准明确了移动 ...

  8. npm包管理机制引质疑:又一安装程序中发现恶意代码,开发者账户频遭劫持

    铜灵 发自 凹非寺 量子位 出品 | 公众号 QbitAI npm行不行,包管理机制行不行? 最新的一次npm包被篡改事件,让开发者的这两个疑问更加强烈了. 最新中枪的是纯函数式编程语言Purescr ...

  9. 怎么扫描同网段mac地址linux,如何快速收集局域网内的IP+MAC信息?用这个扫描器分分钟搞定!!!...

    原标题:如何快速收集局域网内的IP+MAC信息?用这个扫描器分分钟搞定!!! 网 工 圈 中国圈内 最早的公益 公众号,本号已认证(关注近 5w+) 关注 科来MAC地址扫描器安装 1.右键" ...

最新文章

  1. CSS a:hover伪类在IE6下的问题
  2. Feign-自定义配置
  3. 从零开始——PowerShell应用入门(全例子入门讲解)
  4. ExtJs六(ExtJs Mvc首页展示)
  5. 学院邮件服务器搭建方案
  6. AutoResetEvent 与 ManualResetEvent
  7. 实验三 密码破解技术 201521410010
  8. 哲学家晚餐问题的Haskell求解
  9. axure轮播图怎么设置循环轮播_Axure教程:广告图片自动轮播+点击切换
  10. JxBrowser使用心得和带中文翻译的文档分享
  11. 【考研词汇训练营】Day 6 —— eventually,state,create,productivity,stimulate
  12. 黑市最流行的黑客匿名工具
  13. 高通8953平台usb转以太网芯片ax88772驱动
  14. 你办培训机构还不知道教育培训管理系统?
  15. 【openMV or openCV】
  16. javamail发送SSL邮件报报Unrecognized SSL message, plaint
  17. 百度的网盟推广图片尺寸总结
  18. Excel二维交叉表恢复为一维表
  19. B/S中的三层架构和MVC设计模型
  20. 黑客帝国代码雨怎么弄?(最全,最简单,看完就会)

热门文章

  1. 解决MySQL事务未提交导致死锁报错 避免死锁的方法
  2. Linux之centos镜像
  3. python as_Python with as的用法
  4. Java opengl openal_项目里用到了openal,特分享一下openal全教程
  5. 移动端、微信小程序页面布局参考
  6. CRMEB小程序安装说明
  7. pci总线定时协议_汽车总线测试的“解忧杂货店”
  8. JSR303数据校验-2021新版
  9. java如何添加子类,java – 防止子类添加方法
  10. JSON字符串转为指定实体类对象