原创 悬镜安全情报中心 2025-03-28 11:46 北京
2025.3.25,悬镜供应链安全情报中心近日捕获1起针对全球知名薪酬统计平台PayScale开源的NPM组件投毒事件,超过170个开源项目依赖该开源组件,总下载量达100万+。此次供应链投毒攻击将导致系统敏感信息泄露,请速排查!
SBOM情报概述
Summary
近日(2025.03.25),悬镜供应链安全情报中心在NPM官方仓库(www.npmjs.com)中捕获1起针对全球知名薪酬数据统计平台 PayScale 旗下开源NPM组件 country-currency-map的供应链投毒事件。country-currency-map 是一款可以帮助前端开发人员快速获取货币和国家/地区关系,便于开发国际化应用的开源组件。截至目前 country-currency-map 组件在NPM官方仓库总下载量已超过百万次。
country-currency-map 项目主页
PayScale NPM项目列表
根据NPM官方接口统计,country-currency-map 组件仅NPM官方仓库总下载量已超过百万次(1175713)。
https://npm-stat.com/api/download-counts?from=2017-01-01&until=2025-03-26&package=country-currency-mapGithub上的country-currency-map项目源码为2.1.7安全版本,未遭受投毒攻击。此外,根据Github项目依赖统计数据,超过170个github开源项目使用country-currency-map组件。考虑到该开源组件的下载量以及使用量,此次投毒攻击是个典型的供应链攻击事件,而攻击根源我们推测是PayScale平台的NPM账号密码或NPM auth token被投毒者盗取导致。
依赖country-currency-map组件的开源项目
投毒分析
Poisoning Analysis
=1
代码混淆
postinstall恶意指令
scripts/launch.js 文件代码被混淆保护,如下所示:
launch.js代码混淆
scripts/launch.js 混淆代码还原后,主要代码功能是调用child_process模块进一步执行同目录下的JS文件 scripts/diagnostic-report.js。
launch.js混淆代码还原
diagnostic-report.js文件同样被混淆处理,如下图所示:
diagnostic-report.js代码混淆
2
系统环境变量外传
diagnostic-report.js窃取系统环境变量信息
3
IoC 数据
本次捕获的NPM投毒组件包涉及的IoC数据如下表所示:
排查方式
Investigation Method
1. 开发者可通过命令 npm list country-currency-map@2.1.8 在项目目录下使用查询是否已安装存在恶意投毒的组件版本,如果已安装请立即使用 npm install country-currency-map@2.1.7 将存在投毒的版本卸载并回退到安全版本。此外还需关闭系统网络并排查系统是否存在异常进程。
2. 此外,也可使用 OpenSCA-cli 工具将受影响的组件包按如下示例保存为db.json文件,直接执行扫描命令(opensca-cli -db db.json -path ${project_path}),即可快速获知您的项目是否受到投毒包影响。
[{"product": "country-currency-map","version": "[2.1.8]","language": "javascript","id": "XMIRROR-MAL45-DE0AF19","description": "country-currency-map组件2.1.8版本存在代码投毒窃取系统环境敏感信息","release_date": "2025-03-25"}]
+
推荐阅读
关于“悬镜安全”
悬镜安全,起源于子芽创立的北京大学网络安全技术研究团队“XMIRROR”,作为数字供应链安全和DevSecOps敏捷安全开拓者,始终专注于以“AI智能代码疫苗”技术为内核,凭借原创专利级“多模态SCA+DevSecOps+SBOM情报预警”的第四代DevSecOps数字供应链安全管理体系,创新赋能金融、车联网、通信、能源、政企、智能制造和泛互联网等行业用户,构筑起适应自身业务弹性发展、面向敏捷业务交付并引领未来架构演进的共生积极防御体系,持续守护中国数字供应链安全。
