1. 墨知首页
  2. 漏洞

NPM组件包 json-cookie-csv 等窃取主机敏感信息

漏洞
目录 隐藏
1 【高危】NPM组件包 json-cookie-csv 等窃取主机敏感信息
1.1 漏洞描述
1.2 影响范围
1.3 参考链接
1.4 安全处理建议
1.5 一键自动排查全公司此类风险(申请免费使用)
1.6 关于本次投毒的分析

【高危】NPM组件包 json-cookie-csv 等窃取主机敏感信息

漏洞描述

当用户安装受影响版本的 json-cookie-csv 等NPM组件包时会窃取用户的主机名、用户名、工作目录、IP地址等信息并发送到攻击者可控的服务器地址。

MPS编号 MPS-xo1f-4kue
处置建议 强烈建议修复
发现时间 2025-07-06
投毒仓库 npm
投毒类型 主机信息收集
利用成本
利用可能性

影响范围

影响组件 受影响的版本 最小修复版本
token-renewal [55.3.1, 55.3.1]
graphql-commons [1.0.0, 40.0.7]
canonical-bridge-ui [1.0.0, 1.0.1]
chia-dev-guides [1.1.1, 1.1.3]
web-app-express [55.3.1, 55.3.1]
pp-react-utils [1.0.0, 1.0.6]
internal-utils [1.0.0, 1.0.3]
iwf-typescript-sdk [1.0.0, 1.0.1]
open-source-catalog [1.0.2, 1.0.3]
protobufjs-protify-example [55.3.1, 55.3.1]
js-prettier [3.3.4, 3.3.5]
json-cookie-csv [1.0.0, 1.0.1]
glean-mcp-server [1.0.0, 1.0.1]
notificationsandbox [1.0.0, 1.0.1]
cra-react-router [55.3.1, 55.3.1]
consgraphql [40.0.10, 40.0.10]
bazel-kotlin [9.9.9, 9.9.9]
calling-an-api [55.3.1, 55.3.1]
mttdocs [1.0.0, 1.0.1]
consgraphqlnodeserv [1.0.0, 1.0.6]
eth-multisig-v4 [1.0.0, 1.0.1]
kiwi-module-search [1.0.0, 3.1.2]
auth0-styleguide-website [55.3.1, 55.3.1]
nonsensetest [1.0.0, 1.0.1]
print-vault-node [1.0.0, 1.0.1]
cmc-core [1.0.0, 29.99.99]

参考链接

https://www.oscs1024.com/hd/MPS-xo1f-4kue

安全处理建议

  1. 排查是否安装了受影响的包:
    使用墨菲安全软件供应链安全平台等工具快速检测是否引入受影响的包。
  2. 立即移除受影响包:
    若已安装列表中的恶意包,立即执行 npm uninstall <包名>,并删除node_modules和package-lock.json后重新安装依赖。
  3. 全面检查系统安全:
    运行杀毒软件扫描,检查是否有异常进程、网络连接(重点关注境外 IP 通信),排查环境变量、配置文件是否被窃取(如数据库密码、API 密钥等),必要时重置敏感凭证。
  4. 加强依赖管理规范:
  5. 仅从官方 NPM 源安装组件,避免使用第三方镜像或未知来源的包。
  6. 使用npm audit、yarn audit定期检查依赖漏洞。
  7. 限制package.json中依赖的版本范围(如避免*或latest),优先选择下载量高、社区活跃的成熟组件。
  8. 集成墨菲安全软件供应链安全平台等工具自动监控风险。

一键自动排查全公司此类风险(申请免费使用)

墨菲安全为您免费提供一键排查全公司开源组件漏洞&投毒风险服务,可一键接入扫描全公司的代码仓库、容器镜像仓库、主机、制品仓库等。

试用地址:https://www.murphysec.com/apply?code=OSUK

提交漏洞情报:https://www.murphysec.com/bounty

关于本次投毒的分析

  • 包名:json-cookie-csv@[1.0.0,1.0.1]
    攻击目标:安装该包的项目/开发者主机
    理由:安装后窃取主机名、用户名、IP等敏感信息并发送至攻击者服务器,直接针对使用此包的环境。
(0)
上一篇 2025年7月7日
下一篇 2025年7月8日

相关推荐

  • HashiCorp Vault 拒绝服务漏洞 (CVE-2023-5954) 漏洞

    HashiCorp Vault 拒绝服务漏洞 (CVE-2023-5954)

    漏洞类型 内存泄漏 发现时间 2023-11-10 漏洞等级 中危 MPS编号 MPS-5zl0-enty CVE编号 CVE-2023-5954 漏洞影响广度 广 漏洞危害 OSCS 描述 HashiCorp Vault 是用于秘密管理、加密即服务和特权访问管理的工具 在受影响版本中,触发策略检查的 HashiCorp Vault 和 Vault Ente…

    2023年11月10日
    0
  • Apache inlong JDBC URL反序列化漏洞(\t绕过) (CVE-2023-46227) 漏洞

    Apache inlong JDBC URL反序列化漏洞(\t绕过) (CVE-2023-46227)

    漏洞类型 输入验证不恰当 发现时间 2023-10-19 漏洞等级 高危 MPS编号 MPS-xsb3-r8jf CVE编号 CVE-2023-46227 漏洞影响广度 一般 漏洞危害 OSCS 描述 Apache InLong 是开源的高性能数据集成框架,方便业务构建基于流式的数据分析、建模和应用。 受影响版本中,由于只对用户输入的 jdbc url 参数…

    2023年10月20日
    0
  • Google Chrome V8< 14.0.221 类型混淆漏洞 漏洞

    Google Chrome V8< 14.0.221 类型混淆漏洞

    【高危】Google Chrome V8< 14.0.221 类型混淆漏洞 漏洞描述 V8 是 Google 开发的一款开源高性能 JavaScript 和 WebAssembly 引擎,广泛用于 Chrome 浏览器和 Node.js 等项目中。Maglev 是 V8 的即时优化编译器,负责快速生成优化的机器码。受影响版本中,Maglev 编译器的函…

    2025年7月23日
    0
  • Envoy PROXY协议身份验证绕过漏洞 (CVE-2024-23324) 漏洞

    Envoy PROXY协议身份验证绕过漏洞 (CVE-2024-23324)

    漏洞类型 输入验证不恰当 发现时间 2024-02-10 漏洞等级 高危 MPS编号 MPS-x4yl-9mrt CVE编号 CVE-2024-23324 漏洞影响广度 小 漏洞危害 OSCS 描述 Envoy 是一款高性能的服务代理。 在受影响版本中,由于PROXY协议实现未过滤非UTF-8字符,当 failure_mode_allow 设置为 true …

    2024年2月12日
    0
  • OpenSSH <9.6 命令注入漏洞 (CVE-2023-51385) 漏洞

    OpenSSH <9.6 命令注入漏洞 (CVE-2023-51385)

    漏洞类型 OS命令注入 发现时间 2023-12-19 漏洞等级 高危 MPS编号 MPS-9rip-l1u7 CVE编号 CVE-2023-51385 漏洞影响广度 广 漏洞危害 OSCS 描述 OpenSSH 是使用 SSH 协议进行远程登录的连接工具。 在OpenSSH 9.6版本之前的ssh中,如果用户名或主机名中含有shell元字符(如 | &#8…

    2023年12月20日
    0