信息來源:cnBeta
Microsoft 的漏洞研究團隊在 npm(Node Package Manager) 存儲庫中發(fā)現(xiàn)了一個惡意 JavaScript 程序包,可從 UNIX 系統(tǒng)竊取敏感信息。該惡意軟件包名為 1337qq-js,于 2019 年 12 月 30 日上傳到 npm 存儲庫中。目前,該惡意軟件包已被 npm 的安全團隊刪除。在此之前,該軟件包至少被下載了 32 次。
根據(jù) npm 安全團隊的分析,該軟件包通過安裝腳本來泄漏敏感信息,并且僅針對 UNIX 系統(tǒng)。
它收集的數(shù)據(jù)類型包括:
1、環(huán)境變量
2、運行過程
3、/ etc / hosts
4、優(yōu)名
5、npmrc文件
其中,竊取環(huán)境變量則被視為重大安全漏洞。npm 團隊建議所有在其項目中下載或使用此 JavaScript 程序包的開發(fā)人員從其系統(tǒng)中刪除該程序包,并輪換使用任何 compromised 的憑據(jù)。
事實上,這是惡意軟件包第六次被放入 npm 存儲庫索引,此前的五次分別為:
1、2019 年 6月 -黑客將電子本地通知庫進行后門操作,以插入到達 Agama 加密貨幣錢包的惡意代碼。
2、2018 年11月 -一名黑客借殼了the event-stream npm 程序包,以將惡意代碼加載到 BitPay Copay 桌面和移動錢包應(yīng)用程序內(nèi)部,并竊取加密貨幣。
3、2018 年 7月 -黑客利用旨在竊取其他開發(fā)人員的 npm 憑據(jù)的惡意代碼破壞了 ESLint 庫。
4、2018年 5月 -黑客試圖在名為 getcookies 的流行 npm 包中隱藏后門。
5、2017 年 4月 -黑客利用敲詐手段在 npm 上載了 38 個惡意 JavaScript 庫,這些庫被配置為從使用它們的項目中竊取環(huán)境細節(jié)。