NPM安全团队最近刚刚从NPM网站上删除了一个恶意的JavaScript库,其中包含可用于在某些程序员计算机上打开后门的恶意代码。
JavaScript库被命名为“ Twilio-npm”Web.archive它显示了恶意行为,该行为最近被Sonatype检测到,Sonatype是一家监视公共套餐存储库的公司,这些公司都是其自身开发人员安全操作的一部分,称为DevSecops Services。
折衷的图书馆首先在NPM网站上找到
根据最近发布的报告据称,根据Sonatype,图书馆是在星期五的某个时候首次在NPM网站上发布的,并于同一天被发现。今天,在NPM官方安全团队最终将上述包装放黑名单之后,将其删除。
尽管上述NPM门户网站上的寿命确实很短,但该库实际下载了370次,并自动包含了某些通过NPM或NPM或Node Package Manager Commander-Line实用程序来构建和管理的JavaScript项目。
Sonatype安全研究人员发现了有关有缺陷的图书馆的
负责发现和分析有缺陷的图书馆的著名SONATYPE安全研究人员Ax Sharma表示,在伪造的Twilio库中发现了恶意代码,最终将在下载所述图书馆的每台计算机上打开TCP反向外壳。下载后,然后在JavaScript/npm/node.js项目中导入它。
反向外壳直接向“ 4.tcp.ngrok [。] io:11425”的连接打开,最初是从首次等待接收一组新命令的地方,以便在受感染的用户自己的计算机上运行。夏尔马随后说,反向外壳只能在基于UNIX的操作系统上使用。
根据ZDNET的文章,NPM安全团队通过说任何已经安装或已经运行的软件包的计算机都被认为是完全妥协的,证实了Sonatype的调查。还指出,该计算机中存储的所有秘密以及键都应立即从某些不同的计算机上旋转。
另请阅读: 越狱iOS 14.2解决方案:如何为早期手机安装最新的iOS
攻击已经进行了一段时间
目前,这标志着三个月内恶意NPM套餐的第四大冠军。在8月下旬的某个时候,NPM工作人员继续删除旨在从特别受感染的用户的浏览器以及Discord应用程序中窃取某些敏感文件的恶意NPM或JavaScript库。
同样,早在9月,已知的NPM员工随后删除了四个不同的NPM(JavaScript)库,用于收集某些用户详细信息,并直接将被盗的数据直接上传到公共GitHub页面。为了适当防御黑客,最好避免使用上述JavaScript库或其他可能是恶意的图书馆。
相关文章: 专家说,美国医院最近的勒索软件攻击是有史以来最重要的网络安全威胁。
本文由技术时报拥有
由Urian Buenconsejo撰写
