恶意npm包收集用户IP等信息并在GitHub传播
Sonatype 研究人员发现并确认了两个新的易受攻击的 npm 软件包。据研究人员介绍,这两个软件包最初由他们的恶意代码自动检测系统 (malicious code detection bots) 发现,这套系统应用了机器学习和人工智能技术,可识别可疑的代码提交、项目更新情况和编码风格,并持续对数百万个开源组件新版本的变更进行评估。在收到检测系统的报警后,其安全研究团队验证了两个 npm 软件包中是否存在恶意代码,并追踪了预期的漏洞利用途径。
这两个软件包分别是:
electorn
loadyaml
上面两个软件包的作者为同一个人,除此之外,检测系统还发现了这名作者另外两个没有发布到 npm 中央仓库的软件包:
loadyml
lodashs
可以看到,"electorn"和"lodashs"这两个恶意软件包故意将名字拼写错误(对应的正确名称是“electron”和“lodash”),通过冒充合法的软件包并使不知情的开发者可以下载它们。对于部分无意打错字且毫无戒心的用户,他们便会在其开发环境中安装恶意软件包,而不是最初打算下载的软件包。例如,开发者错将“electron”打成“electorn”。
一旦安装了恶意软件包,它们便会按照固定的时间频率在后台运行收集用户 IP 地址、地理位置数据、用户名、home 目录路径和 CPU 型号信息的脚本。
这些信息的一部分构成了设备的指纹信息,被实时上传并发布在 GitHub 公共页面上。虽然部分信息经过了 base64 编码,但任何人都有权限访问这些信息并且可以十分轻松地将其解码。
Sonatype 安全研究团队向 GitHub 和 npm 反馈了此问题,这些恶意软件包目前已被下架。从发布到被下架,这些软件包的下载量总计超过 400 次:
electorn: 255
lodashs: 78
loadyaml: 48
loadyml: 37
目前尚不清楚恶意软件包作者收集这些数据的目的是什么,为什么将其发布在网络上以供全世界查看。然而,像这样的事件凸显了开源生态中 Typosquatting 攻击(误植域名)的潜在威胁。通过欺骗毫无戒备的开发者安装一个拼写错误的软件包,攻击者可以将他们的恶意代码向“下游”推送到任何依赖这些“李鬼软件包”的开源项目,从而形成开源软件供应链攻击。
由于微信平台算法改版,公号内容将不再以时间排序展示,如果大家想第一时间看到我们的推送,强烈建议星标我们和给我们多点点【在看】。星标具体步骤为:(1)点击页面最上方“小詹学Python”,进入公众号主页。
(2)点击右上角的小点点,在弹出页面点击“设为星标”,就可以啦。
感谢支持,比心。
恶意npm包收集用户IP等信息并在GitHub传播相关推荐
- 注意!恶意NPM包正在安装勒索软件和密码窃取木马
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 两个伪装成 Roblox 库的恶意NPM包正在用户机器上传播勒索软件和密码窃取木马.这两个包是 "noblox.js-proxy&qu ...
- 恶意NPM包窃取Discord 令牌和信用卡信息等
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 专栏·供应链安全 数字化时代,软件无处不在.软件如同社会中的"虚拟人",已经成为支撑社会正常运转的最基本元素之一,软件的安全 ...
- Facebook再次被曝通过至少11款应用收集用户私密信息
[TechWeb]2月24日消息,据国外媒体报道,Facebook一直在秘密地从一些流行的应用程序中收集大量的个人信息,该公司的行为通常是在用户不知情的情况下. <华尔街日报>的一项调查发 ...
- Npm 恶意包试图窃取 Discord 敏感信息和浏览器文件
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 npm安全团队从 npm 门户网站中删除了一个恶意 JavaScript 库.该库的目的是为了从受感染用户浏览器和 Discord 应 ...
- 阿里云搭建npm私服和上传npm包
安装verdaccio: npm install -g verdaccio --unsafe-perm 加上--unsafe-perm选项是为了防止gyp ERR! permission denied ...
- 200多个恶意NPM程序包针对Azure 开发人员,发动供应链攻击
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 专栏·供应链安全 数字化时代,软件无处不在.软件如同社会中的"虚拟人",已经成为支撑社会正常运转的最基本元素之一,软件的安全 ...
- 网上银行App登录使用短信验证码,属不属于超范围收集用户信息?
网上银行App登录该不该用短信验证码? 全国信息安全标准化技术委员会日前公布<信息安全技术 移动互联网应用(App)收集个人信息基本规范(草案)>,面向社会公开征求意见. 该标准明确了移动 ...
- npm包管理机制引质疑:又一安装程序中发现恶意代码,开发者账户频遭劫持
铜灵 发自 凹非寺 量子位 出品 | 公众号 QbitAI npm行不行,包管理机制行不行? 最新的一次npm包被篡改事件,让开发者的这两个疑问更加强烈了. 最新中枪的是纯函数式编程语言Purescr ...
- 怎么扫描同网段mac地址linux,如何快速收集局域网内的IP+MAC信息?用这个扫描器分分钟搞定!!!...
原标题:如何快速收集局域网内的IP+MAC信息?用这个扫描器分分钟搞定!!! 网 工 圈 中国圈内 最早的公益 公众号,本号已认证(关注近 5w+) 关注 科来MAC地址扫描器安装 1.右键" ...
最新文章
- CSS a:hover伪类在IE6下的问题
- Feign-自定义配置
- 从零开始——PowerShell应用入门(全例子入门讲解)
- ExtJs六(ExtJs Mvc首页展示)
- 学院邮件服务器搭建方案
- AutoResetEvent 与 ManualResetEvent
- 实验三 密码破解技术 201521410010
- 哲学家晚餐问题的Haskell求解
- axure轮播图怎么设置循环轮播_Axure教程:广告图片自动轮播+点击切换
- JxBrowser使用心得和带中文翻译的文档分享
- 【考研词汇训练营】Day 6 —— eventually,state,create,productivity,stimulate
- 黑市最流行的黑客匿名工具
- 高通8953平台usb转以太网芯片ax88772驱动
- 你办培训机构还不知道教育培训管理系统?
- 【openMV or openCV】
- javamail发送SSL邮件报报Unrecognized SSL message, plaint
- 百度的网盟推广图片尺寸总结
- Excel二维交叉表恢复为一维表
- B/S中的三层架构和MVC设计模型
- 黑客帝国代码雨怎么弄?(最全,最简单,看完就会)