微软发现窃取 UNIX 系统数据的恶意 npm 包

Catalin Cimpanu 代码卫士 2022-04-06

聚焦源代码安全，网罗国内外最新资讯！

编译：奇安信代码卫士团队

JavaScript 生态系统事实上的数据包管理器 npm 的安全团队刚刚下架了一款被指窃取 UNIX 系统敏感信息的恶意数据包。

该恶意数据包被称为 1337qq-js，在2019年12月30日被上传到 npm仓库。该数据包至少被下载了32次，之后被微软漏洞研究团队发现。

Npm安全团队分析表示，该数据包通过安装脚本提取敏感信息，且仅针对UNIX 系统。该恶意数据包提取的信息包括：

窃取环境变量被视为重大安全泄露事件，因为某些信息如硬编码密码或API 访问令牌通常在某些JavaScript web 或移动应用中被存储为环境变量。

Npm 团队建议所有在项目中下载或使用该 JavaScript 数据包的开发人员从系统中删除该数据包并更换已遭攻陷的凭证。

这是恶意数据包第六次出现在npm 仓库索引中，不过本案例是最不严重的一次，主要原因是微软安全分析师在它上线两周后就将其捕获，不至于造成严重后果。

此前出现的恶意npm 数据包事件包括：

推荐阅读

警惕新型“二进制植入”漏洞，立即更新至 Npm 最新版本

原文链接

https://www.zdnet.com/article/microsoft-spots-malicious-npm-package-stealing-data-from-unix-systems/

题图：Pixabay License

本文由奇安信代码卫士编译，不代表奇安信观点，转载请注明“转自奇安信代码卫士 www.codesafe.cn”

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

点个“在看”，bounty 多多~