在NPM索引中发现了60个软件包,这些包试图收集敏感的主机和网络数据,并将其发送到由威胁行为者控制的Discord webhook。

根据Socket的威胁研究团队的说法,这些软件包从5月12日开始从三个发布者帐户上传到NPM存储库。

每个恶意包都包含一个安装后脚本,该脚本在“npm install”期间自动执行并收集以下信息:

1-主机名2-内部IP地址3-用户主页目录4-当前工作目录5-用户名6-系统 DNS 服务器

脚本检查与云提供商相关的主机名,反向 DNS 字符串,以确定它是否在分析环境中运行。

Socket没有观察到第二阶段有效载荷的交付,特权升级或任何持久机制。然而,鉴于收集的数据类型,有针对性的网络攻击的危险性很大。

NPM 上仍然提供的软件包

研究人员报告了恶意软件包,但在撰写本文时,它们仍然可以在NPM上使用,并显示累积下载量为3,000。然而,通过发布时间,它们都没有出现在存储库中。

为了欺骗开发人员使用它们,该活动背后的威胁行为者使用类似于索引中合法软件包的名称,如“flipper-plugins”,“react-xterm2”和“hermes-inspector-msggen”,通用信任唤起名称,以及其他暗示测试的名称,可能针对CI / CD管道。

60个恶意软件包的完整列表可在Socket报告的底部部分找到。

如果您已经安装了其中任何一个,建议立即删除它们并执行完整的系统扫描以根除任何感染残留物。

NPM 上的数据雨刷

Socket uncoveredSocket昨天在NPM上发现的另一个恶意活动涉及八个恶意软件包,这些软件包通过错别字搜索来模仿合法工具,但可以删除文件,损坏数据并关闭系统。

这些针对 React、Vue.js、Vite、Node.js 和 Quill 生态系统的软件包在过去两年中一直存在于 NPM 上,下载量为 6,200 次。

逃避这一长时间的部分原因是基于硬编码系统日期激活的有效载荷,并且结构能够逐步销毁框架文件,损坏核心JavaScript方法并破坏浏览器存储机制。

这场运动背后的威胁行为者,以“xuxingfeng”的名义发布它们,还列出了几个合法的软件包,以建立信任和逃避检测。

虽然危险现在已经根据硬编码日期过去了,但删除软件包至关重要,因为它们的作者可以引入更新,这些更新将在未来重新触发其擦除功能。