警惕 npm 包下毒,窃取用户隐私信息

最近有研究者发现存在 npm 包通过 chrome 的账号恢复机制窃取用户密码信息:NPM Package Steals Passwords via Chrome’s Account-Recovery Tool,甚至可以实现命令注入、文件上传、开启摄像头等功能。

npm 托管着超过 150 万个独特的包,每天为全球约 1100 万开发人员提供超过 10 亿次 JavaScript 包请求,免费开放的生态为开发者提供了不少便利,但别有用心的人也能利用此机制实现恶意功能。

此次发现的恶意程序就是 nodejs_net_server,目前该 npm 包已被官方标记上危险信息,同时 github 也删除了相关仓库。

nodejs_net_server:自 2019 年 2 月首次发布以来,已发布 12 个版本,总共下载超过 1,300 次的包。它最后一次更新是在六个月前,由某人使用“chrunlee”的名字创作。根据 ReversingLabs 的说法,chrunlee 似乎也是 GitHub 上的活跃开发人员,该开发人员正在开发 61 个存储库

通过静态分析,研究人员在 nodejs_net_server 包的多个版本中发现了 Win32.Infostealer.Heuristics 文件。它的元数据显示该文件的原始名称是“a.exe”并且它位于“lib”文件夹内。研究人员指出,带有类似扩展名的单字母文件名会向威胁猎人发出危险信号。果然,a.exe 原来是一个名为 ChromePass 的实用程序:一种用于恢复存储在 Chrome 网络浏览器中的密码的合法工具。

开源库虽然好用,但采纳时也应该最好相关安全检查,使用一些静态代码分析工具或者人肉阅读源码的方式是非常必要的。

npm
203 views
Comments
登录后评论
Sign In
·

这个人好像还是个中国人,个人网站:https://chrunlee.cn/,看他 github 放了挺多开源的东西,应该做开发不久了,不是小号,如果这是有意为之就太可怕了