btwiuse在 NPM 仓库中发布后门组件

事件简述

NPM 是 Node.js 包管理工具,提供了对第三方 Node.js 包的查找、下载、安装、卸载等功能。

2022 年 07 月 04 日,OSCS 监测发现 NPM 官方仓库被 btwiuse 上传了 btwiuse、k0s 恶意组件包,使用恶意组件包后会在用户电脑上加载名为 k0s 的远控木马,危害较为严重,OSCS 提醒广大开发者关注。

详细分析

以 k0s 组件为例,其目录结构如下:

index.jspackage.json

引入该组件后会执行远控木马程序,危险代码存在于 package.json 与 index.js 文件中。

恶意代码如下:

btwiuse在 NPM 仓库中发布后门组件
btwiuse在 NPM 仓库中发布后门组件

进行代码溯源可发现会安装如下地址的远程控制服务

https://github.com/btwiuse/k0s.git/
btwiuse在 NPM 仓库中发布后门组件

 其远控服务端地址如下

https://k0s.io/
OSCS 开源安全社区建议广大用户做好资产自查以及预防工作,以免遭受黑客攻击。

处置建议

OSCS 开源安全社区建议用户通过以下方式排查:

1、使用npm ls或npm ls -g命令查看是否安装恶意组件

2、排查项目 package.json 是否引用恶意组件

具体可参考:

https://www.oscs1024.com/hd/MPS-2022-41934/

时间线

  • 7月1日,攻击者上传了 k0s 的恶意包
  • 7月3日,攻击者上传了 btwiuse 的恶意包
  • 7月4日,OSCS 监测到本次恶意 NPM 包投毒行为,已有服务器被攻击者控制

了解更多

免费使用 OSCS 的情报订阅服务

OSCS (开源软件供应链安全社区)会第一时间发布开源项目最新的安全风险动态,包括开源组件安全漏洞、投毒情报等信息,社区用户可通过企微、钉钉、飞书等方式进行订阅。

具体订阅方式详见:

https://www.oscs1024.com/docs/vuln-warning/intro/

btwiuse在 NPM 仓库中发布后门组件
btwiuse在 NPM 仓库中发布后门组件

————————————————
版权声明:本文为CSDN博主「开源生态安全OSCS」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/cups107/article/details/125615873

发布者:墨菲安全,转发请注明出处:https://www.murphysec.com/blog/poisoning-analysis/4337.html

(0)
上一篇 2023年1月5日 14:17
下一篇 2023年1月5日 14:20

相关推荐

  • 在线编程 IDE =远程网络攻击?

    背景: 黑客通常使用受感染的机器而不是直接从个人拥有的设备发起攻击,这使他们能够隐藏其来源。在最近的事件响应中,Profero 的事件响应团队调查了一种可能的情况,假设威胁参与者使用 Datacamp 的在线 IDE 对云基础设施发起攻击。但是,因为Datacamp、ISP 和在线 IDE 之间错综复杂的关系,使得Profero 的事件响应团队对使用云 ID…

    2023年1月5日
  • 二月最新漏洞列表

    Apache IoTDB-Workbench <0.13.3 存在身份验证绕过漏洞(CVE-2023-24829),Apache Linkis <1.3.1 任意客户端文件读取漏洞(CVE-2022-44644),Apache Linkis <1.3.1 存在反序列化漏洞(CVE-2022-44645),Apache InLong 存在任意文件读取漏洞(CVE-2023-24977)

    2023年2月6日
  • npm 包 chalk-next 被开发者投毒,源码 SRC 目录被删除

    一、事件简述 1月5日,有开发者在 twitter 中发文称遭遇了名为 chalk-next 的组件投毒事件,该组件存在收集配置信息和删除本地文件的恶意逻辑,当前 NPM 仓库已经下线了该组件。 chalk-next 组件的开发者也是 vue-admin-beautiful 项目的作者 chuzhixin,vue-admin-beautiful 项目在 Gi…

    2023年1月6日
  • 开源无国界?vue-cli、node-ipc被投毒事件分析

    开源无国界?vue-cli、node-ipc被投毒事件分析 简述 近日我们监测到Vue.js生态中的vue-cli包遭遇供应链投毒,而被投毒的node-ipc包在npm上每周下载量超百万,影响非常广泛。 被投毒的情况如下: (问题组件每周下载量截图) 事件时间线 3月7号 开发者RIAEvangelist在node-ipc包中添加名为ssl-geospec….

    2023年1月4日
  • ihateniggers:针对Python开发者的Windows远控木马分析

    背景 墨菲安全实验室在持续监测开源软件仓库中的投毒行为,5 月 9 日起发现 4 个包含 “ihateniggers” 远程控制木马的 Python 包被 nagogy@gmail.com 邮箱关联的账号发布到 PyPI 仓库,试图针对Windows系统下 Python 开发者进行攻击。木马利用了discord、replit、play…

    2023年5月12日

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注

联系我们

400-180-9568

邮件:hi@murphysec.com

工作时间:周一至周五,10:00-19:00,节假日休息

关注公众号

20230105-100741