目录隐藏

【高危】NPM组件 test_for_ntu_note_2 等窃取主机敏感信息

漏洞描述

当用户安装受影响版本的 test_for_ntu_note_2 等NPM组件包时会窃取用户的主机名、用户名、工作目录、IP地址等信息并发送到攻击者可控的服务器地址。

影响组件	受影响的版本	最小修复版本
wix-test-package	[0.0.4, 0.0.10]	–
r6-info.js	[1.0.0, 2.8.3]	–
xhjxhjnpmrce	[1.2.9, 1.2.9]	–
alexmssd	[1.1.1, 1.1.1]	–
show-dependencies	[99.9.2, 99.9.2]	–
mr456	[1.0.0, 1.0.0]	–
test_for_ntu_note_2	[1.0.0, 3.0.0]	–
wonderland-api-security-plugin	[3.1.9, 3.1.9]	–
plonkscript-docs	[0.0.2, 0.0.2]	–
rival-fetch-hook	[1.0.0, 1.0.1]	–
alexwilliam	[1.1.1, 1.1.1]	–
monpayload	[1.0.0, 1.0.3]	–
vuepress-plugin-gitlabment	[10.20.9, 10.20.9]	–
totallynotapaylaod	[1.0.0, 1.0.1]	–
ntu_test_1	[1.0.0, 27.0.0]	–
web_for_ntu_flag2	[1.0.0, 4.0.0]	–
always-target	[1.0.0, 1.0.0]	–
calc_03kqnrbygi	[1.8.0, 2.3.0]	–
calc_6bt8utnoh0	[1.0.0, 1.6.0]	–
@exitman_ctf/steal	[1.0.0, 1.4.0]	–
@b10902118/note-xss-payload	[1.0.0, 1.0.0]	–

排查是否安装了受影响的包：
使用墨菲安全软件供应链安全平台等工具快速检测是否引入受影响的包。
立即移除受影响包：
若已安装列表中的恶意包，立即执行 npm uninstall <包名>，并删除node_modules和package-lock.json后重新安装依赖。
全面检查系统安全：
运行杀毒软件扫描，检查是否有异常进程、网络连接（重点关注境外 IP 通信），排查环境变量、配置文件是否被窃取（如数据库密码、API 密钥等），必要时重置敏感凭证。
加强依赖管理规范：
仅从官方 NPM 源安装组件，避免使用第三方镜像或未知来源的包。
使用npm audit、yarn audit定期检查依赖漏洞。
限制package.json中依赖的版本范围（如避免*或latest），优先选择下载量高、社区活跃的成熟组件。
集成墨菲安全软件供应链安全平台等工具自动监控风险。

墨菲安全为您免费提供一键排查全公司开源组件漏洞&投毒风险服务，可一键接入扫描全公司的代码仓库、容器镜像仓库、主机、制品仓库等。

包名：test_for_ntu_note_2@[1.0.0, 3.0.0]
攻击目标：NTU相关学生项目
理由：包名含”ntu”，可能伪装成该校相关笔记工具包，诱导学生安装以窃取主机信息。
包名：@exitman_ctf/steal@[1.0.0, 1.4.0]
攻击目标：CTF参赛者
理由：包名含”ctf”和”steal”，明显针对CTF场景用户，意图窃取比赛环境敏感信息。
包名：ntu_test_1@[1.0.0, 27.0.0]
攻击目标：NTU内部测试项目
理由：包名”ntu_test”暗示与NTU测试相关，可能诱导内部开发者安装以收集主机数据。
包名：web_for_ntu_flag2@[1.0.0, 4.0.0]
攻击目标：NTU相关Web项目
理由：包名含”ntu_flag”，可能伪装成NTU Web开发工具包，针对相关Web项目开发者。