npm(Node Package Manager)是JavaScript生态系统的实际包管理器,近日,npm的安全团队删除了一个恶意软件包,该软件包被发现从UNIX系统窃取敏感信息。
该恶意软件包名为1337qq-js,已于2019年12月30日上传到npm存储库中。
该软件包在被Microsoft的漏洞研究团队发现之前至少被下载了32次。
根据npm安全团队的分析,该软件包通过安装脚本来泄漏敏感信息,并且仅针对UNIX系统。
它收集的数据类型包括:
- 环境变量
- 运行过程
- / etc / hosts
- uname
- npmrc文件
窃取环境变量被认为是重大的安全漏洞,因为某些信息(例如,硬编码密码或API访问令牌)通常作为环境变量存储在某些JavaScript Web或移动应用程序中。
npm团队建议所有在其项目中下载或使用此JavaScript程序包的开发人员都将从其系统中删除该程序包,并轮换使用任何受到破坏的凭据。
这是第六次将恶意软件包放入npm存储库索引,这不是最严重的情况,因为Microsoft安全分析人员在该库发布后两周且在获得大量关注之前就抓住了该它。
以前在npm上进行恶意npm打包的事件包括:
- 2019 年6月 -黑客将electron native notify库进行后门操作,以插入到达Agama加密货币钱包的恶意代码。
- 2018 年11月 -黑客将BitPay Copay桌面和移动钱包应用程序内部的恶意代码加载到事件流npm包后门,并窃取加密货币。
- 2018 年7月 -黑客利用恶意代码破坏了ESLint库,目的为窃取其他开发人员的npm凭据。
- 2018年5月 -黑客试图在流行的npm库getcookies的包中隐藏后门。
- 2017年4月 -黑客利用敲诈行为在npm上载了38个恶意JavaScript库,这些库被配置为从使用它们的项目中窃取环境细节
*编译:Domino
*来自:ZDNET