NPM安全團隊最近剛剛從NPM網站上刪除了一個惡意的JavaScript庫,其中包含可用於在某些程序員計算機上打開後門的惡意代碼。
JavaScript庫被命名為“ Twilio-npm”Web.archive它顯示了惡意行為,該行為最近被Sonatype檢測到,Sonatype是一家監視公共套餐存儲庫的公司,這些公司都是其自身開發人員安全操作的一部分,稱為DevSecops Services。
折衷的圖書館首先在NPM網站上找到
根據最近發布的報告據稱,根據Sonatype,圖書館是在星期五的某個時候首次在NPM網站上發布的,並於同一天被發現。今天,在NPM官方安全團隊最終將上述包裝放黑名單之後,將其刪除。
儘管上述NPM門戶網站上的壽命確實很短,但該庫實際下載了370次,並自動包含了某些通過NPM或NPM或Node Package Manager Commander-Line實用程序來構建和管理的JavaScript項目。
Sonatype安全研究人員發現了有關有缺陷的圖書館的
負責發現和分析有缺陷的圖書館的著名SONATYPE安全研究人員Ax Sharma表示,在偽造的Twilio庫中發現了惡意代碼,最終將在下載所述圖書館的每台計算機上打開TCP反向外殼。下載後,然後在JavaScript/npm/node.js項目中導入它。
反向外殼直接向“ 4.tcp.ngrok [。] io:11425”的連接打開,最初是從首次等待接收一組新命令的地方,以便在受感染的用戶自己的計算機上運行。夏爾馬隨後說,反向外殼只能在基於UNIX的操作系統上使用。
根據ZDNET的文章,NPM安全團隊通過說任何已經安裝或已經運行的軟件包的計算機都被認為是完全妥協的,證實了Sonatype的調查。還指出,該計算機中存儲的所有秘密以及鍵都應立即從某些不同的計算機上旋轉。
另請閱讀: 越獄iOS 14.2解決方案:如何為早期手機安裝最新的iOS
攻擊已經進行了一段時間
目前,這標誌著三個月內惡意NPM套餐的第四大冠軍。在8月下旬的某個時候,NPM工作人員繼續刪除旨在從特別受感染的用戶的瀏覽器以及Discord應用程序中竊取某些敏感文件的惡意NPM或JavaScript庫。
同樣,早在9月,已知的NPM員工隨後刪除了四個不同的NPM(JavaScript)庫,用於收集某些用戶詳細信息,並直接將被盜的數據直接上傳到公共GitHub頁面。為了適當防禦黑客,最好避免使用上述JavaScript庫或其他可能是惡意的圖書館。
相關文章: 專家說,美國醫院最近的勒索軟件攻擊是有史以來最重要的網絡安全威脅。
本文由技術時報擁有
由Urian Buenconsejo撰寫
