NPM 存储库安全人员删除两个包含恶意代码软件包

NPM安全人员删除了两个包含恶意代码的包，以便在开发人员的计算机上安装Njrat远程访问特洛伊木马(RAT)。

npm 存储库背后的安全人员删除了两个包含恶意代码的软件包，这些软件包包含在导入和安装了jdb.js和db-json.js软件包的JavaScript和Node.js开发人员的计算机上安装njRAT远程访问特洛伊木马（RAT） 。

这些包是Sonatype研究人员在感恩节周末发现的。

“这一次，我们识别出的 typosquatting 包上装有流行的远程访问木马（RAT）。” Sonatype发布了这篇帖子。

恶意软件包是：

• jdb.js
• db-json.js “

这两个软件包都是上周由同一位作者创建的，后者伪装了它们作为使用JSON文件的工具。

二者在被Sonatype研究人员发现之前已下载了100多次。

该jdb.js包包括设计用于执行被感染计算机和数据收集的基本侦察的脚本。该脚本尝试下载并执行一个名为patch.exe的文件，该文件 用于安装njRAT远程访问木马。

Sonatype的研究人员Ax Sharma注意到，patch.exe加载程序还通过添加一条规则来修改本地Windows防火墙，该规则将其命令和控制（C＆C）服务器列入了白名单，然后再连接以下载最终的RAT。

第二个软件包jdb.js仅包含用于加载jdb.js的ODE。

“乍一看，“ db-json.js”程序包看起来很干净，因为它包含了真正的JSON DB创建程序包所期望的功能代码。然而，它正在秘密地将恶意的“ jdb.js”作为依赖项，Sonatype曾多次警告过这一点。” 继续分析。

安装上述软件包之一的开发人员必须将他们的系统视为完全安全的。

“任何安装或运行此程序包的计算机都应被视为完全受损。存储在该计算机上的所有机密和密钥应立即从另一台计算机轮换。” npm的工作人员说。

官方存储库中经常存在恶意npm软件包。

在11月初，同一组研究人员发现了一个npm软件包，其中包含旨在窃取敏感的Discord和浏览器文件的恶意代码。

几天前，npm安全团队从其存储库中删除了一个名为“twilio-npm”的恶意JavaScript库，因为该库包含用于在程序员计算机上建立后门程序的代码。Npm是所有编程语言中最大的软件包存储库。

10月，NPM工作人员从npm门户删除了四个JavaScript程序包，因为它们包含恶意代码。Npm是所有编程语言中最大的软件包存储库。

这四个软件包总共下载了1000次，分别是：

• plutov-slack-client
• nodetest199
• nodetest1010
• npmpubman

这标志着过去三个月中恶意软件包的第四次重大删除 。

8月下旬，工作人员删除了一个恶意npm（JavaScript）库，该库旨在从受感染用户的浏览器和Discord应用程序中窃取敏感文件。

9月，安全团队删除了四个npm（JavaScript）库，用于收集用户详细信息并将被盗数据上传到公共GitHub页面。

10月，npm团队删除了三个在开发人员计算机上打开反向外壳（后门）的软件包 。这三个软件包也是由Sonatype发现的。与上周末发现的一个不同，这三个还可以在Windows系统上运行，而不仅是类UNIX系统。

本作品采用《CC 协议》，转载必须注明作者和本文链接