目录隐藏

【高危】NPM组件 aiohappyeyeballs 等窃取主机敏感信息

漏洞描述

当用户安装受影响版本的 aiohappyeyeballs 组件包时会窃取用户的主机名、用户名、工作目录、IP地址等信息并发送到攻击者可控的服务器地址。

影响组件	受影响的版本	最小修复版本
node-calculator-yqhi	[2.2.0, 2.2.0]	–
reactcodepad	[1.0.0, 1.0.0]	–
cycalculator-ybvd	[2.2.0, 2.2.0]	–
botframework-webchat-cldr-data	[9.9.9, 9.9.9]	–
reactmsagl	[1.0.0, 1.0.0]	–
resource-deployment	[1.0.0, 1.0.0]	–
sqldbproj	[1.0.0, 1.0.0]	–
signature-transaction	[1.0.0, 1.1.2]	–
cycalculator-ye51	[2.2.0, 2.2.0]	–
ts-browser-webpack	[1.1.1, 99.99.99]	–
node-calculator-fahw	[2.2.0, 2.2.0]	–
googlesitekit-widgets	[1.0.0, 1.0.0]	–
googlesitekit-modules	[1.0.0, 1.0.0]	–
xo-angular-ui-utils	[0.0.0, 2100.4.2]	–
sinhalasub.lk	[1.0.0, 10.0.0]	–
googlesitekit-data	[1.0.0, 1.0.0]	–
googlesitekit-notifications	[1.0.0, 1.0.0]	–
third-sender	[1.0.0, 1.1.2]	–
dataworkspace	[1.0.0, 1.0.0]	–
aiohappyeyeballs	[0.1.4, 0.2.5]	–
node-calculator-splo	[2.2.0, 2.2.0]	–
rbx-parser-ts	[1.5.7, 1.5.9]	–
nr1-github	[0.10.1, 1.2.4]	–
az-ext	[1.0.0, 1.0.0]	–
googlesitekit-components	[1.0.0, 1.0.0]	–
vscode-mssql	[1.0.0, 1.0.0]	–
googlesitekit-api	[1.0.0, 1.0.0]	–

排查是否安装了受影响的包：
使用墨菲安全软件供应链安全平台等工具快速检测是否引入受影响的包。
立即移除受影响包：
若已安装列表中的恶意包，立即执行 npm uninstall <包名>，并删除node_modules和package-lock.json后重新安装依赖。
全面检查系统安全：
运行杀毒软件扫描，检查是否有异常进程、网络连接（重点关注境外 IP 通信），排查环境变量、配置文件是否被窃取（如数据库密码、API 密钥等），必要时重置敏感凭证。
加强依赖管理规范：
仅从官方 NPM 源安装组件，避免使用第三方镜像或未知来源的包。
使用npm audit、yarn audit定期检查依赖漏洞。
限制package.json中依赖的版本范围（如避免*或latest），优先选择下载量高、社区活跃的成熟组件。
集成墨菲安全软件供应链安全平台等工具自动监控风险。

墨菲安全为您免费提供一键排查全公司开源组件漏洞&投毒风险服务，可一键接入扫描全公司的代码仓库、容器镜像仓库、主机、制品仓库等。

包名：aiohappyeyeballs@[0.1.4, 0.2.5]
攻击目标：Google Site Kit相关组件
理由：受影响依赖中含多个googlesitekit-*包（如widgets、modules），可能针对使用该WordPress插件的网站管理员主机环境。
包名：node-calculator-yqhi@2.2.0
攻击目标：安装该计算器工具的用户主机
理由：作为依赖aiohappyeyeballs的工具包，可能通过伪装功能引诱用户安装以窃取主机信息。
包名：vscode-mssql@1.0.0
攻击目标：VS Code MSSQL扩展用户
理由：开发环境中使用的数据库扩展，窃取的主机信息可能包含数据库敏感环境配置。