NPM 安全團隊刪除惡意 JavaScript 庫

偽裝成Twilio相關庫的JavaScript庫打開后門，使攻擊者能夠訪問受感染的工作站。

npm安全團隊今天從npm網站上刪除了一個惡意JavaScript庫，其中包含用于在程序員計算機上打開后門的惡意代碼。

該JavaScript庫被稱為“ twilio-npm”其惡意行為在周末被Sonatype發現，Sonatype是一家監控公共軟件包存儲庫的公司，將其作為其開發人員安全操作(DevSecOps)服務的一部分。

Sonatype在今天發布的一份報告中說，該庫于周五首次在npm網站上發布，于同一天被發現，并在npm安全團隊將軟件包列入黑名單后于今天被刪除。

盡管npm門戶的使用壽命很短，但該庫已下載了370次以上，并自動包含在通過npm（節點程序包管理器）命令行實用程序)構建和管理的JavaScript項目中 。

Sonatype安全研究人員Ax Sharma發現并分析了該庫，他說，在偽造的Twilio庫中發現的惡意代碼在所有下載該庫并將其導入JavaScript / npm / Node.js項目中的計算機上打開了TCP反向Shell。

反向外殼程序打開了與“ 4.tcp.ngrok [.] io：11425 ”的連接，從那里等待接收在受感染用戶的計算機上運行的新命令。

Sharma說，反向外殼程序只能在基于UNIX的操作系統上工作。

開發人員要求更改憑據，機密，密鑰

npm安全小組今天說：“任何安裝或運行了此軟件包的計算機都應被視為完全受到威脅。” 證實了Sonatype的調查。

npm團隊補充說：“應該立即從另一臺計算機上旋轉存儲在該計算機上的所有機密和密鑰。”

這標志著過去三個月中惡意npm軟件包的第四次重大刪除。

8月下旬，npm員工刪除了一個惡意npm（JavaScript）庫，該庫旨在從受感染用戶的瀏覽器和Discord應用程序中竊取敏感文件。

在9月，npm工作人員刪除了四個npm（JavaScript）庫，用于收集用戶詳細信息并將所竊取的數據上傳到公共GitHub頁面。

在10月，npm團隊刪除了三個npm（JavaScript）軟件包，這些軟件包在開發人員計算機上打開反向shell（后門）時也被捕獲。這三個軟件包也是由Sonatype發現的。與上周末發現的一個不同，這三個還可以在Windows系統上運行，而不僅是類UNIX系統。