近日，NPM 移除了多个托管在其仓库中的包，原因是这些包会向远程服务器建立连接并泄露用户数据。

这 4 个包在过去几个月中累计有超过 1000 次下载，直到 10 月 15 日被 NPM 移除。

这 4 个包是：

1. plutov-slack-client- manifest 中的信息声称是一个“Node.JS Slack 客户端”。
2. nodetest199- 没有描述。
3. nodetest1010- 没有描述。
4. npmpubman- manifest 中的信息声称是“一个关于 Linux shell 登录的简单实现”。

向攻击者的服务器建立一个反向 shell

尽管恶意软件已经被 NPM 曝光和移除，但我依然从 Sonatype 的自动恶意软件检测系统档案中获得了这些包的源代码，就像它曾经在 NPM 下载时一样。

前 3 个包 plutov-slack-client、nodetest1010 和 nodetest199 共享相同的代码。

这些包中包含的非常简单的代码能够在 Windows 和基于 Unix 的系统上运行。

用户安装了这些包之后，这些包的代码会向攻击者的服务器建立一个反向 shell，允许攻击者能够远程访问受害机器。