btwiuse在 NPM 仓库中发布后门组件

事件简述

NPM 是 Node.js 包管理工具,提供了对第三方 Node.js 包的查找、下载、安装、卸载等功能。

2022 年 07 月 04 日,OSCS 监测发现 NPM 官方仓库被 btwiuse 上传了 btwiuse、k0s 恶意组件包,使用恶意组件包后会在用户电脑上加载名为 k0s 的远控木马,危害较为严重,OSCS 提醒广大开发者关注。

详细分析

以 k0s 组件为例,其目录结构如下:

index.jspackage.json

引入该组件后会执行远控木马程序,危险代码存在于 package.json 与 index.js 文件中。

恶意代码如下:

btwiuse在 NPM 仓库中发布后门组件
btwiuse在 NPM 仓库中发布后门组件

进行代码溯源可发现会安装如下地址的远程控制服务

https://github.com/btwiuse/k0s.git/
btwiuse在 NPM 仓库中发布后门组件

 其远控服务端地址如下

https://k0s.io/
OSCS 开源安全社区建议广大用户做好资产自查以及预防工作,以免遭受黑客攻击。

处置建议

OSCS 开源安全社区建议用户通过以下方式排查:

1、使用npm ls或npm ls -g命令查看是否安装恶意组件

2、排查项目 package.json 是否引用恶意组件

具体可参考:

https://www.oscs1024.com/hd/MPS-2022-41934/

时间线

  • 7月1日,攻击者上传了 k0s 的恶意包
  • 7月3日,攻击者上传了 btwiuse 的恶意包
  • 7月4日,OSCS 监测到本次恶意 NPM 包投毒行为,已有服务器被攻击者控制

本文转载自本文为CSDN博主「开源生态安全OSCS」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。,本文观点不代表墨知立场。

(0)
上一篇 2023年8月9日 下午5:50
下一篇 2023年8月9日 下午6:14

相关推荐

  • CuteBoi:超过 1200 个 NPM 包加入挖矿逻辑

    事件简述 近日,checkmarx研究人员公开了一起涉及众多包的NPM软件供应链攻击事件。事件最早可以追溯到 2021年12月,攻击者投放了1200多个包含混淆加密的恶意 NPM ,这些包拥有相同的挖矿脚本(eazyminer),该脚本的目的是利用如 Database和 Web 等所在服务器的机器闲置资源进行挖矿。 攻击事件分析 攻击手法 CuteBoi 主…

    2023年8月9日
    0
  • shaikhyaser在NPM 仓库中投放67个恶意包

    一、事件简述: 7 月 16 日 ,OSCS 安全社区监测到shaikhyaser一天内在NPM仓库中不间断投放了十多个组件包,这些组件包都包含恶意行为。截止到21日,该用户已向 NPM 仓库投放了 67个不同版本的的恶意组件包,这些包也在代码中注明了该用户的邮箱,推测是hackerone中的用户。 这些恶意包的攻击方式相同,下面来分析其攻击手法。 二、 手…

    2023年8月9日
    0
  • 多个不同名称的 PyPI 包中发现 W4SP 窃取器

    威胁参与者已经向 Python 包索引(PyPI)发布了另一轮恶意软件包,目的是在受到威胁的开发人员机器上发布窃取信息的恶意软件。 有趣的是,尽管这个恶意软件有很多名字,比如ANGEL Stealer,Celestial Stealer,Fade Stealer,Leaf $tealer,PURE Stealer,Satan Stealer和@skid St…

    2023年8月9日
    0
  • 差点引爆全球的核弹,深度分析XZ-Utils供应链后门投毒事件

    处心积虑的投毒者蛰伏三年多,精心选择对象,通过复杂的攻击手法、专业的技战术,一步步支起一张大网,企图掌控全球主流linux发行版,一旦成功他将可以随意侵入全球绝大多数的服务器,这将是足以引爆全球的核弹危机。所幸由于复杂度过高以及投毒者的疏忽,事件被及早发现,没有造成过大的现实危害。但此次事件再次凸显出开源软件生态的脆弱性,本次事件仍可能只是冰山下的一角。墨菲…

    2024年4月1日
    0
  • ihateniggers:针对Python开发者的Windows远控木马分析

    背景 墨菲安全实验室在持续监测开源软件仓库中的投毒行为,5 月 9 日起发现 4 个包含 “ihateniggers” 远程控制木马的 Python 包被 nagogy@gmail.com 邮箱关联的账号发布到 PyPI 仓库,试图针对Windows系统下 Python 开发者进行攻击。木马利用了discord、replit、playit 等多个平台托管后门…

    2023年8月9日
    0