目录隐藏

【高危】NPM组件 botframework-webchat-base 等窃取主机敏感信息

漏洞描述

当用户安装受影响版本的 botframework-webchat-base 等NPM组件包时会窃取用户的主机名、用户名、工作目录、IP地址等信息并发送到攻击者可控的服务器地址。

影响组件	受影响的版本	最小修复版本
internal-logger-embaby	[9.9.9, 9.9.10]	–
nova-node-utils	[1.0.1, 1.0.1]	–
renovates	[1.0.0, 1.0.2]	–
react-native-at-internet-example	[2.0.0, 3.0.0]	–
next-preconfig	[1.0.0, 1.0.0]	–
wicked-external-fivem	[1.0.5, 1.0.5]	–
ethical-ping-example	[1.0.0, 1.3.5]	–
slack-astra-app	[0.6.3, 0.6.4]	–
your-css-package-name	[1.0.0, 1.0.0]	–
botframework-webchat-react-valibot	[9.9.9, 9.9.9]	–
botframework-webchat-base	[9.9.9, 9.9.9]	–
events-web1	[0.0.1, 0.0.1]	–
botframework-webchat-styles	[9.9.9, 9.9.9]	–
fast-todo-app	[1.0.0, 9.9.9]	–
wicked-external-roblox	[1.0.5, 1.0.5]	–
tidb-lightning-web	[4.0.6, 4.0.6]	–
web3-rtc	[1.0.0, 1.0.0]	–
work-planner-client	[1.0.0, 1.8.1]	–
com.tencent.puerts.core	[10.0.0, 10.0.0]	–
tdesign-flutter	[10.0.0, 10.0.0]	–
coveragepublisher	[1.0.0, 9.9.9]	–
spot-tasks	[0.0.1, 0.0.1]	–
node-sqlite-fly-tutorial	[1.0.0, 1.0.0]	–
solara-roblox	[1.0.0, 1.0.5]	–
sirius-import-article	[2.0.0, 5.0.0]	–
nova-ssr-utils	[1.0.1, 1.0.2]	–
int-lib-config-utils	[1.0.0, 1.0.0]	–

排查是否安装了受影响的包：
使用墨菲安全软件供应链安全平台等工具快速检测是否引入受影响的包。
立即移除受影响包：
若已安装列表中的恶意包，立即执行 npm uninstall <包名>，并删除node_modules和package-lock.json后重新安装依赖。
全面检查系统安全：
运行杀毒软件扫描，检查是否有异常进程、网络连接（重点关注境外 IP 通信），排查环境变量、配置文件是否被窃取（如数据库密码、API 密钥等），必要时重置敏感凭证。
加强依赖管理规范：
仅从官方 NPM 源安装组件，避免使用第三方镜像或未知来源的包。
使用npm audit、yarn audit定期检查依赖漏洞。
限制package.json中依赖的版本范围（如避免*或latest），优先选择下载量高、社区活跃的成熟组件。
集成墨菲安全软件供应链安全平台等工具自动监控风险。

墨菲安全为您免费提供一键排查全公司开源组件漏洞&投毒风险服务，可一键接入扫描全公司的代码仓库、容器镜像仓库、主机、制品仓库等。

包名：botframework-webchat-base@9.9.9
攻击目标：Bot Framework Web Chat相关项目
理由：包名模仿微软Bot Framework Web Chat组件，版本异常，易诱骗开发者安装，窃取其主机信息。
包名：tidb-lightning-web@4.0.6
攻击目标：TiDB Lightning相关Web项目
理由：TiDB Lightning是TiDB数据导入工具，该包可能被相关项目依赖，用于窃取主机信息。
包名：botframework-webchat-styles@9.9.9
攻击目标：Bot Framework Web Chat前端项目
理由：名称关联Bot Framework Web Chat样式组件，伪造版本号，针对使用该框架的前端开发环境。