近期，The Hacker News 报道称 npm 软件包列表中发现了两个恶意软件包，名为 img-aws-s3-object-multipart-copy 和 legacyaws-s3-object-multipart-copy，它们可以执行从远程服务器发送的恶意命令。这两个软件包伪装成合法库，但包含隐藏在图像文件中的命令和控制功能，在安装过程中会注册新客户端并定期执行攻击者发布的命令。

这两个恶意软件包分别为 img-aws-s3-object-multipart-copy 和 legacyaws-s3-object-multipart-copy，目前分别已被下载 190 次和 48 次。

它们通过伪装成名为 aws-s3-object-multipart-copy 的合法 npm 库，并附带一个经过修改的“index.js”文件版本来执行恶意操作。

这两个软件包包含隐藏在图像文件中的复杂命令和控制功能，这些功能将在软件包安装过程中执行，通过发送主机名和操作系统详细信息，在命令与控制（C2）服务器上注册新客户端，然后会尝试每隔五秒定期执行攻击者发布的命令。

目前，这两个恶意软件包已被 npm 安全团队清理。

Phylum 的分析报告指出，这些软件包会冒充合法库，但包含隐藏在图像文件中的命令和控制功能，在安装过程中会注册新客户端并定期执行攻击者发布的命令。

该事件提醒开发者在使用 npm 软件包时，务必谨慎，仔细检查软件包的来源和内容，避免安装恶意软件包。

npm 是 Node.js 默认的、用 JavaScript 编写的软件包管理系统。

npm 软件包列表中的恶意软件包提醒开发者在使用软件包时务必谨慎，仔细检查软件包的来源和内容，避免安装恶意软件包。

开发者应该使用官方的 npm 网站，并检查软件包的来源和版本，避免安装来自未知来源的软件包。

开发者还应该使用安全工具和扫描软件，检测软件包中的恶意代码。

此外，开发者还应该及时更新软件包，修复已知的安全漏洞。

开发者应时刻关注 npm 安全团队发布的公告，了解最新的安全威胁和防御措施。

IT之家 7 月 17 日消息，The Hacker News 昨日（7 月 16 日）发布博文，报道称 npm 软件包列表中发现了 2 个恶意软件包，可以执行从远程服务器发送的恶意命令。

这两个恶意软件包分别为 img-aws-s3-object-multipart-copy 和 legacyaws-s3-object-multipart-copy，目前分别已被下载 190 次和 48 次，截至IT之家发稿为止，这两个恶意软件包已被 npm 安全团队清理。

软件供应链安全公司 Phylum 在一份分析报告中说：“这些软件包含隐藏在图像文件中的复杂命令和控制功能，这些命令和控制功能将在软件包安装过程中执行”。

这两个软件包会冒充名为 aws-s3-object-multipart-copy 的合法 npm 库，但附带了一个经过修改的“index.js”文件版本，用于执行一个 JavaScript 文件（“loadformat.js”）。

该 JavaScript 文件通过发送主机名和操作系统详细信息，在命令与控制（C2）服务器上注册新客户端，然后会尝试每隔五秒定期执行攻击者发布的命令。

IT之家注：npm 是 Node.js 默认的、用 JavaScript 编写的软件包管理系统。