btwiuse在 NPM 仓库中发布后门组件

事件简述

NPM 是 Node.js 包管理工具,提供了对第三方 Node.js 包的查找、下载、安装、卸载等功能。

2022 年 07 月 04 日,OSCS 监测发现 NPM 官方仓库被 btwiuse 上传了 btwiuse、k0s 恶意组件包,使用恶意组件包后会在用户电脑上加载名为 k0s 的远控木马,危害较为严重,OSCS 提醒广大开发者关注。

详细分析

以 k0s 组件为例,其目录结构如下:

index.jspackage.json

引入该组件后会执行远控木马程序,危险代码存在于 package.json 与 index.js 文件中。

恶意代码如下:

btwiuse在 NPM 仓库中发布后门组件
btwiuse在 NPM 仓库中发布后门组件

进行代码溯源可发现会安装如下地址的远程控制服务

https://github.com/btwiuse/k0s.git/
btwiuse在 NPM 仓库中发布后门组件

 其远控服务端地址如下

https://k0s.io/
OSCS 开源安全社区建议广大用户做好资产自查以及预防工作,以免遭受黑客攻击。

处置建议

OSCS 开源安全社区建议用户通过以下方式排查:

1、使用npm ls或npm ls -g命令查看是否安装恶意组件

2、排查项目 package.json 是否引用恶意组件

具体可参考:

https://www.oscs1024.com/hd/MPS-2022-41934/

时间线

  • 7月1日,攻击者上传了 k0s 的恶意包
  • 7月3日,攻击者上传了 btwiuse 的恶意包
  • 7月4日,OSCS 监测到本次恶意 NPM 包投毒行为,已有服务器被攻击者控制

了解更多

免费使用 OSCS 的情报订阅服务

OSCS (开源软件供应链安全社区)会第一时间发布开源项目最新的安全风险动态,包括开源组件安全漏洞、投毒情报等信息,社区用户可通过企微、钉钉、飞书等方式进行订阅。

具体订阅方式详见:

https://www.oscs1024.com/docs/vuln-warning/intro/

btwiuse在 NPM 仓库中发布后门组件
btwiuse在 NPM 仓库中发布后门组件

————————————————
版权声明:本文为CSDN博主「开源生态安全OSCS」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/cups107/article/details/125615873

发布者:墨菲安全,转发请注明出处:https://www.murphysec.com/blog/poisoning-analysis/4337.html

(0)
上一篇 2023年1月5日 14:17
下一篇 2023年1月5日 14:20

相关推荐

  • OSCS发现PyPI官方仓库遭遇150+恶意包疯狂投毒

    一、事件简述 2022 年 06 月 23 日,OSCS 开源安全社区监测发现 PyPI 官方仓库被攻击者上传了agoric-sdk,datashare,datadog-agent等150+个恶意钓鱼包,OSCS官方提醒广大开发者关注。 PyPI 是 Python 的包管理工具,提供了对第三方 Python 包的查找、下载、安装、卸载等功能。攻击者mega7…

    2023年1月4日
  • npm 包 chalk-next 被开发者投毒,源码 SRC 目录被删除

    一、事件简述 1月5日,有开发者在 twitter 中发文称遭遇了名为 chalk-next 的组件投毒事件,该组件存在收集配置信息和删除本地文件的恶意逻辑,当前 NPM 仓库已经下线了该组件。 chalk-next 组件的开发者也是 vue-admin-beautiful 项目的作者 chuzhixin,vue-admin-beautiful 项目在 Gi…

    2023年1月6日
  • shaikhyaser在NPM 仓库中投放67个恶意包

    一、事件简述: 7 月 16 日 ,OSCS 安全社区监测到shaikhyaser一天内在NPM仓库中不间断投放了十多个组件包,这些组件包都包含恶意行为。截止到21日,该用户已向 NPM 仓库投放了 67个不同版本的的恶意组件包,这些包也在代码中注明了该用户的邮箱,推测是hackerone中的用户。 这些恶意包的攻击方式相同,下面来分析其攻击手法。 二、 手…

    2023年1月5日
  • 多个不同名称的 PyPI 包中发现 W4SP 窃取器

    威胁参与者已经向 Python 包索引(PyPI)发布了另一轮恶意软件包,目的是在受到威胁的开发人员机器上发布窃取信息的恶意软件。 有趣的是,尽管这个恶意软件有很多名字,比如ANGEL Stealer,Celestial Stealer,Fade Stealer,Leaf $tealer,PURE Stealer,Satan Stealer和@skid St…

    2023年2月17日
  • 小心白蛇!PyPI仓库被持续投放White Snake后门组件

    背景 墨菲安全实验室在持续监测开源软件仓库中的投毒行为,4 月 14 日起陆续发现至少 41 个包含白蛇(White Snake)后门的 Python 包被发布到 PyPI 仓库,目前相关的后门包仍在持续发布。 事件简述 白蛇 (WhiteSnake)是在今年 2 月份开始持续活跃、以信息窃取为目的的后门软件,其通过 telegram 等渠道进行售卖,按照不…

    2023年5月12日

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注

联系我们

400-180-9568

邮件:hi@murphysec.com

工作时间:周一至周五,10:00-19:00,节假日休息

关注公众号

20230105-100741