恶意代码伪装成Twilio相关库的JavaScript库打开后门,使攻击者可以访问受感染的工作站。
npm安全团队近日从npm网站上删除了一个恶意JavaScript库,其中包含用于在程序员计算机上打开后门的恶意代码。
该JavaScript库被称为“ twilio-npm ”,它的恶意行为是由Sonatype在周末发现的,该公司监视公共软件包存储库,作为其开发人员安全操作(DevSecOps)服务的一部分。
Sonatype在今天发布的一份报告中说,该库于上周五首次在npm网站上发布,于同一天被发现,并在npm安全团队将软件包列入黑名单后于今天被删除。
尽管npm门户的使用寿命很短,但该库已下载了370次以上,并自动包含在通过npm(节点程序包管理器)命令行实用程序构建和管理的JavaScript项目中 。
Sonatype安全研究人员Ax Sharma发现并分析了该库后表示,在伪造的Twilio库中发现的恶意代码在所有下载该库并将其导入JavaScript / npm / Node.js项目中的计算机上打开了TCP反向Shell。
反向外壳程序打开了与“4.tcp.ngrok[.]io:11425 ”的连接,从那里等待接收在受感染用户的计算机上运行的新命令。
Sharma说,反向shell只能在基于UNIX的操作系统上工作。
开发人员要求更改凭据,机密,密钥
npm安全小组证实了Sonatype的调查并表示: “任何安装或运行了此软件包的计算机都应被视为完全受到威胁” 。
npm团队补充说:“应该立即从另一台计算机上转移存储在该计算机上的所有机密和密钥。”
这标志着过去三个月中恶意npm软件包的第四次重大删除。
8月下旬,npm员工删除了一个恶意npm(JavaScript)库,该库旨在从受感染用户的浏览器和Discord应用程序中窃取敏感文件。
在9月,npm工作人员删除了四个npm(JavaScript)库,用于收集用户详细信息并将所窃取的数据上传到公共GitHub页面。
在10月,npm团队删除了三个npm(JavaScript)软件包,这些软件包在开发人员计算机上打开反向shell(后门)时也被捕获。这三个软件包也是由Sonatype发现的。与上周末发现的一个不同,这三个还可以在Windows系统上运行,而不仅是类UNIX系统。
*编译:Domino
*来自:zdnet