事件简述
NPM 是 Node.js 包管理工具,提供了对第三方 Node.js 包的查找、下载、安装、卸载等功能。
2022 年 07 月 04 日,OSCS 监测发现 NPM 官方仓库被 btwiuse 上传了 btwiuse、k0s 恶意组件包,使用恶意组件包后会在用户电脑上加载名为 k0s 的远控木马,危害较为严重,OSCS 提醒广大开发者关注。
详细分析
以 k0s 组件为例,其目录结构如下:
index.jspackage.json
引入该组件后会执行远控木马程序,危险代码存在于 package.json 与 index.js 文件中。
恶意代码如下:
进行代码溯源可发现会安装如下地址的远程控制服务
https://github.com/btwiuse/k0s.git/
其远控服务端地址如下
https://k0s.io/
OSCS 开源安全社区建议广大用户做好资产自查以及预防工作,以免遭受黑客攻击。
处置建议
OSCS 开源安全社区建议用户通过以下方式排查:
1、使用npm ls或npm ls -g命令查看是否安装恶意组件
2、排查项目 package.json 是否引用恶意组件
具体可参考:
https://www.oscs1024.com/hd/MPS-2022-41934/
时间线
- 7月1日,攻击者上传了 k0s 的恶意包
- 7月3日,攻击者上传了 btwiuse 的恶意包
- 7月4日,OSCS 监测到本次恶意 NPM 包投毒行为,已有服务器被攻击者控制
了解更多
免费使用 OSCS 的情报订阅服务
OSCS (开源软件供应链安全社区)会第一时间发布开源项目最新的安全风险动态,包括开源组件安全漏洞、投毒情报等信息,社区用户可通过企微、钉钉、飞书等方式进行订阅。
具体订阅方式详见:
https://www.oscs1024.com/docs/vuln-warning/intro/
————————————————
版权声明:本文为CSDN博主「开源生态安全OSCS」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/cups107/article/details/125615873
发布者:墨菲安全,转发请注明出处:https://www.murphysec.com/blog/poisoning-analysis/4337.html