11月06, 2020

发布当天就被发现?npm 删除伪装成 Twilio 的恶意库

最近,npm 安全团队从 npm 网站上删除了一个 JavaScript 库,因为该库中包含恶意代码,这些恶意代码可以在开发者的计算机上打开后门。

Sonatype 发布的报告表示,该恶意 JavaScript 库是“twilio-npm”,一个看起来像是 Twilio 相关库的恶意库。该库于上周五首次在 npm 网站上发布,在发布的当天就被 Sonatype 团队发现了其恶意行为,于是 npm 安全团队将这一软件包列入黑名单并删除。

虽然 twilio-npm 的恶意代码在发布当天就被发现了,npm 也已经尽快将其删除,但是该库仍已经被下载超过 370 次,并且自动包含在通过 npm 命令行程序构建和管理的 JavaScript 项目中。该库的恶意行为是被 Sonatype 的安全研究员 Ax Sharma 发现的,Ax Sharma 说,在这个山寨的 Twilio 库中发现的恶意代码会在所有下载并使用该库的开发者电脑上打开 TCP 反向 Shell。反向 Shell 程序打开了“4.tcp.ngrok [。] io:11425的连接,从而可以接收被感染用户的计算机上运行的命令。

Sharma 表示,反向 Shell 程序只能在基于 UNIX 的操作系统上工作。

npm 安全小组发布了一篇公告表示:“任何安装或运行了此软件包的计算机都应被认为完全受到了威胁。该计算机上存储的所有机密和密钥都应该立即转移至另一台计算机。”

图为 npm 发布的公告

点击查看原文>

本文链接:https://blog.jnliok.com/post/GI3wsRLgRMNftDDQOqLY.html

-- EOF --

Comments