目录
最近,我们在内部开源软件(OSS)包监控仪表板中发现了一个恶意 npm 包 nyc-config。它涉及向外部域名发送用户系统数据。这可能是对广泛使用的 @istanbuljs/load-nyc-config 的 typosquatting 攻击,后者每周下载量约为 2500 万次。
发现与分析
我们的自动恶意软件分析工具将 nyc-config 包标记为恶意软件,原因是系统信息泄露。经手动检查,我们发现该包的 package.json 文件中包含一个 preinstall 脚本,旨在安装步骤本身执行 index.js 文件。该脚本专门收集以下敏感系统信息:
- 主机名
- 操作系统详情
- 本地和公共 IP 地址
- 用户名
- 当前工作目录
收集的数据随后被泄露到攻击者控制的远程服务器。
您可以在此处查看分析报告 - https://platform.safedep.io/community/malysis/01JP01T1WQPNGAG516NDS9A6ST
社区协作
认识到这一威胁的严重性,我们立即将发现报告给了开源安全基金会(OSSF)- https://github.com/ossf/malicious-packages/pull/839
结论
这一事件凸显了在引入第三方包时保持谨慎、确保其来源可信的重要性。通过保持警惕并促进协作努力,我们可以共同减轻恶意行为者带来的风险,并加强开发环境的安全性。
- npm
- malware
- typosquatting
- open-source security
SafeDep 博客最新动态
订阅以获取开源安全与工程的最新更新和见解