目录隐藏

【高危】NPM组件 acronis-platform-configs 等窃取主机敏感信息

漏洞描述

当用户安装受影响版本的 acronis-platform-configs 组件包时会窃取用户的主机名、用户名、工作目录、IP地址等信息并发送到攻击者可控的服务器地址。

影响组件	受影响的版本	最小修复版本
budoux-extension	[1.0.0, 9.9.9]	–
json-confs	[8.9.8, 8.9.8]	–
fix-xeno	[1.6.1, 1.6.2]	–
dva-update-rce	[1.0.0, 1.0.0]	–
testinghs	[1.0.1, 1.0.1]	–
auth0-mcp-server	[1.0.0, 1.2.3]	–
react-server-dom-turbopack-experimental	[10.0.1, 10.0.1]	–
react-nodes	[4.0.1, 4.0.1]	–
airbnb-booking	[1.0.1, 1.0.1]	–
package-with-conditions	[10.0.1, 10.0.1]	–
prysk	[10.0.1, 10.0.1]	–
react-server-dom-webpack-experimental	[10.0.1, 10.0.1]	–
redux-saga-channel-end-rce	[1.0.0, 1.0.0]	–
redux-replace-rce	[1.0.0, 1.0.0]	–
redux-saga-task-cancel-rce	[1.0.0, 1.0.0]	–
nit-template-service-core-lib	[1.18.3, 1.18.3]	–
dva-loading-show-rce	[1.0.0, 1.0.0]	–
dva-loading-hide-rce	[1.0.0, 1.0.0]	–
scheduler-experimental-builtin	[10.0.1, 10.0.1]	–
redux-init-rce	[1.0.0, 1.0.0]	–
fuzzponent	[10.0.1, 10.0.1]	–
blank-pkg	[10.0.1, 10.0.1]	–
next-minimal-server	[10.0.1, 10.0.1]	–
redux-probe-unknown-action-rce	[1.0.0, 1.0.0]	–
vite-plugin-reactjs-refresh	[8.9.8, 8.9.8]	–
auth0-base	[1.0.0, 1.0.1]	–
turborepo-tests-helpers	[10.0.1, 10.0.1]	–
acronis-platform-configs	[99.0.0, 99.0.0]	–

排查是否安装了受影响的包：
使用墨菲安全软件供应链安全平台等工具快速检测是否引入受影响的包。
立即移除受影响包：
若已安装列表中的恶意包，立即执行 npm uninstall <包名>，并删除node_modules和package-lock.json后重新安装依赖。
全面检查系统安全：
运行杀毒软件扫描，检查是否有异常进程、网络连接（重点关注境外 IP 通信），排查环境变量、配置文件是否被窃取（如数据库密码、API 密钥等），必要时重置敏感凭证。
加强依赖管理规范：
仅从官方 NPM 源安装组件，避免使用第三方镜像或未知来源的包。
使用npm audit、yarn audit定期检查依赖漏洞。
限制package.json中依赖的版本范围（如避免*或latest），优先选择下载量高、社区活跃的成熟组件。
集成墨菲安全软件供应链安全平台等工具自动监控风险。

墨菲安全为您免费提供一键排查全公司开源组件漏洞&投毒风险服务，可一键接入扫描全公司的代码仓库、容器镜像仓库、主机、制品仓库等。

包名：acronis-platform-configs@99.0.0
攻击目标：误安装该包的开发者/项目
理由：包名可能模仿Acronis平台配置工具，安装后窃取主机敏感信息，目标为使用或误装该恶意包的用户。
包名：react-server-dom-turbopack-experimental@10.0.1
攻击目标：React生态前端项目
理由：名称模仿React实验性组件，吸引React开发者安装，窃取其主机信息，影响前端开发环境。
包名：auth0-mcp-server@[1.0.0,1.2.3]
攻击目标：Auth0相关应用
理由：名称仿冒Auth0服务组件，可能诱导使用Auth0的开发者安装，窃取相关项目主机信息。