NPM 存储库安全人员删除两个包含恶意代码软件包

sugar 2020-12-02
专栏 - 资讯 发布于 2020-12-02 10:22:53 阅读 122 评论 0

NPM安全人员删除了两个包含恶意代码的包,以便在开发人员的计算机上安装Njrat远程访问特洛伊木马(RAT)。

npm 存储库背后的安全人员删除了两个包含恶意代码的软件包,这些软件包包含在导入和安装了jdb.js和db-json.js软件包的JavaScript和Node.js开发人员的计算机上安装njRAT远程访问特洛伊木马(RAT) 。

这些包是Sonatype研究人员在感恩节周末发现的。

“这一次,我们识别出的 typosquatting 包上装有流行的远程访问木马(RAT)。” Sonatype发布了这篇帖子。

恶意软件包是:

  • jdb.js
  • db-json.js “

这两个软件包都是上周由同一位作者创建的,后者伪装了它们作为使用JSON文件的工具。

二者在被Sonatype研究人员发现之前已下载了100多次。

该jdb.js包包括设计用于执行被感染计算机和数据收集的基本侦察的脚本。该脚本尝试下载并执行一个名为patch.exe的文件,该文件 用于安装njRAT远程访问木马。

Sonatype的研究人员Ax Sharma注意到,patch.exe加载程序还通过添加一条规则来修改本地Windows防火墙,该规则将其命令和控制(C&C)服务器列入了白名单,然后再连接以下载最终的RAT。

第二个软件包jdb.js仅包含用于加载jdb.js的ODE。

“乍一看,“ db-json.js”程序包看起来很干净,因为它包含了真正的JSON DB创建程序包所期望的功能代码。然而,它正在秘密地将恶意的“ jdb.js”作为依赖项,Sonatype曾多次警告过这一点。” 继续分析。

安装上述软件包之一的开发人员必须将他们的系统视为完全安全的。

“任何安装或运行此程序包的计算机都应被视为完全受损。存储在该计算机上的所有机密和密钥应立即从另一台计算机轮换。” npm的工作人员说。

官方存储库中经常存在恶意npm软件包。

在11月初,同一组研究人员发现了一个npm软件包,其中包含旨在窃取敏感的Discord和浏览器文件的恶意代码。

几天前,npm安全团队从其存储库中删除了一个名为“twilio-npm”的恶意JavaScript库,因为该库包含用于在程序员计算机上建立后门程序的代码。Npm是所有编程语言中最大的软件包存储库。

10月,NPM工作人员从npm门户删除了四个JavaScript程序包,因为它们包含恶意代码。Npm是所有编程语言中最大的软件包存储库。

这四个软件包总共下载了1000次,分别是:

  • plutov-slack-client
  • nodetest199
  • nodetest1010
  • npmpubman

这标志着过去三个月中恶意软件包的第四次重大删除 。

8月下旬,工作人员删除了一个恶意npm(JavaScript)库,该库旨在从受感染用户的浏览器和Discord应用程序中窃取敏感文件。

9月,安全团队删除了四个npm(JavaScript)库,用于收集用户详细信息并将被盗数据上传到公共GitHub页面。

10月,npm团队删除了三个在开发人员计算机上打开反向外壳(后门)的软件包 。这三个软件包也是由Sonatype发现的。与上周末发现的一个不同,这三个还可以在Windows系统上运行,而不仅是类UNIX系统。

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!