1. 墨知首页
  2. 漏洞

NPM组件 @capacitor-bmo/biometric 等窃取主机敏感信息

漏洞
目录 隐藏
1 【高危】NPM组件 @capacitor-bmo/biometric 等窃取主机敏感信息
1.1 漏洞描述
1.2 影响范围
1.3 参考链接
1.4 安全处理建议
1.5 一键自动排查全公司此类风险
1.6 关于本次投毒的分析

【高危】NPM组件 @capacitor-bmo/biometric 等窃取主机敏感信息

漏洞描述

当用户安装受影响版本的 @capacitor-bmo/biometric 等NPM组件包时会窃取用户的主机名、用户名、IP地址信息并发送到攻击者可控的服务器地址。

MPS编号 MPS-ulta-dq1b
处置建议 强烈建议修复
发现时间 2025-08-17
投毒仓库 npm
投毒类型 主机信息收集
利用成本
利用可能性

影响范围

影响组件 受影响的版本 最小修复版本
ember-lts-4.4 [1.0.0, 2.0.0]
gannache [5.2.3, 5.2.3]
azure-arm-parameterflattening [5.1.1, 5.1.4]
winston-log [1.0.0, 1.4.0]
ionic-insta-api-wrapper [1.0.0, 1.0.2]
@z3r0whales/comms [2.0.1, 2.0.1]
coronavirus-calculator [1.0.0, 2.0.0]
ganachhe [5.2.3, 5.2.3]
meid-cli [0.0.1, 1.0.10]
vite-plugin-netx-project [1337.0.0, 1337.0.0]
string-modifier-utils [1.0.0, 1.0.0]
wb3.js [4.2.3, 4.2.3]
solana-pump-test [2.3.1, 2.6.1]
com.db.internetportal.es.olb-crossover-components [0.2.89, 0.2.89]
sessions-logger [3.1.2, 3.1.2]
alchmey-sdk [5.2.3, 5.2.3]
project-luck [1337.0.0, 1337.0.0]
@capacitor-bmo/common [99.0.0, 99.0.1]
6sdgsd6s-control [9999.0.0, 9999.0.0]
aog-lib [2.2.2, 2.2.4]
tiktok-prod [1337.0.0, 1337.0.0]
vite-binding-js [7.11.8, 7.11.8]
@z3r0whales/testpackagezero [2.0.0, 2.0.0]
@capacitor-bmo/biometric [9999.0.0, 9999.0.1]
cloudflare-agent-starter [99.99.99, 99.99.99]
colorful-buttons [1.0.0, 1.1.0]
soyagyu [1.3.7, 1.3.7]
zdachboostv2 [1.1.9, 1.1.9]
morgan-logger [1.1.2, 1.1.2]
react-stickynod [6.0.0, 13.0.0]
@hornetsecurity/angular-pew-pew [1.0.0, 15.0.0]
actor-alarms [99.99.99, 99.99.99]
project-bounty [1337.0.0, 1337.0.0]
@solana-web3-pack/base-x [1.0.0, 1.0.1]
jsons-logger [8.9.8, 8.9.8]
eslint-config-pcc-custom [99.0.3, 99.0.3]
solana-pump-sdk-test [2.3.4, 2.3.4]
terminalstyle [1.0.0, 2.2.0]
fundry [5.2.3, 5.2.3]
@hornetsecurity/angular-search-box [18.0.0, 18.0.0]
universal-airdrop-checker-ai [1.0.0, 1.0.0]
graphkitx [2.0.0, 2.1.0]
tiktok-dev [1337.0.0, 1337.0.0]
truflee [5.2.3, 5.2.3]
burst-dash [1.0.0, 2.0.0]
@com-delta-omnichannel/core [1.0.0, 1.0.1]
truffel [5.2.3, 1000.0.0]
ganacha [5.2.3, 5.2.3]
internallib_v773 [1.0.1, 1.0.1]
we3.js [5.2.3, 5.2.3]
@majiajun7/claude-code [1.0.25, 1.0.25]
@eooce/sbox [1.0.0, 1.0.1]
findsomeluck [1337.0.0, 1337.0.0]
solana-pumpfun-sdk [1.5.2, 1.5.2]
solana-spl-sdk [0.1.1, 0.1.1]
somemalicious [1337.0.0, 1337.0.0]
tangem-id-android [7.7.7, 7.7.7]
web-bluetooth-spp-application [2.0.0, 2.0.1]
cp-web-pulse-logger [1.0.0, 1.0.0]
foundrey [5.2.3, 5.2.3]
bug-bounty-hunter [1337.0.0, 1337.0.0]
bug-bounty [1337.0.0, 1337.0.0]
@com-delta-idp/core [1.0.0, 1.0.1]
vite-plugin-vue-extend-plugin [1337.0.0, 1337.0.0]
tailwind-styled-scrollbar [1.0.0, 1.0.0]
gamedl [1.0.0, 1.0.0]
erc721_eth [7.7.7, 7.7.7]
ganac [5.2.3, 5.2.3]

参考链接

https://www.oscs1024.com/hd/MPS-ulta-dq1b

安全处理建议

  1. 排查是否安装了受影响的包:
    使用墨菲安全软件供应链安全平台等工具快速检测是否引入受影响的包。
  2. 立即移除受影响包:
    若已安装列表中的恶意包,立即执行 npm uninstall <包名>,并删除node_modules和package-lock.json后重新安装依赖。
  3. 全面检查系统安全:
    运行杀毒软件扫描,检查是否有异常进程、网络连接(重点关注境外 IP 通信),排查环境变量、配置文件是否被窃取(如数据库密码、API 密钥等),必要时重置敏感凭证。
  4. 加强依赖管理规范:
  5. 仅从官方 NPM 源安装组件,避免使用第三方镜像或未知来源的包。
  6. 使用npm audit、yarn audit定期检查依赖漏洞。
  7. 限制package.json中依赖的版本范围(如避免*或latest),优先选择下载量高、社区活跃的成熟组件。
  8. 集成墨菲安全软件供应链安全平台等工具自动监控风险。

一键自动排查全公司此类风险

墨菲安全为您免费提供一键排查全公司开源组件漏洞&投毒风险服务,可一键接入扫描全公司的代码仓库、容器镜像仓库、主机、制品仓库等。

试用地址:https://www.murphysec.com/adv?code=DCIM

提交漏洞情报:https://www.murphysec.com/bounty

关于本次投毒的分析

  • 包名:@capacitor-bmo/biometric@9999.0.0-9999.0.1
    攻击目标:Capacitor/Ionic移动应用
    理由:Capacitor是Ionic跨平台开发工具,biometric涉及生物识别,可能影响使用其的移动应用开发者。

  • 包名:ganachhe@5.2.3
    攻击目标:以太坊开发环境
    理由:模仿合法工具ganache(以太坊本地测试链),拼写相近易诱骗开发者安装,目标以太坊开发者。

  • 包名:solana-pump-test@2.3.1-2.6.1
    攻击目标:Solana生态项目
    理由:包名含”solana”,针对Solana区块链生态,可能影响使用相关SDK的Solana开发者或项目。

  • 包名:vite-plugin-netx-project@1337.0.0
    攻击目标:Vite前端项目
    理由:Vite是前端构建工具,该插件可能被前端项目依赖,攻击使用Vite的前端开发环境。

(0)
上一篇 2025年8月21日 上午11:49
下一篇 2025年8月21日 上午11:51

相关推荐

  • Amazon Redshift JDBC Driver<2.1.0.28 SQL注入漏洞 (CVE-2024-32888)

    漏洞类型 SQL注入 发现时间 2024-05-15 漏洞等级 严重 MPS编号 MPS-yg3n-dx5h CVE编号 CVE-2024-32888 漏洞影响广度 漏洞危害 OSCS 描述 Amazon Redshift 的 JDBC 驱动程序是一个 Type 4 JDBC 驱动程序,通过 Java 平台企业版提供的标准 JDBC 应用程序接口(API)实…

    漏洞 2024年5月15日
    0
  • Apache Storm File.createTempFile 创建文件权限错误 (CVE-2023-43123) 漏洞

    Apache Storm File.createTempFile 创建文件权限错误 (CVE-2023-43123)

    漏洞类型 未授权敏感信息泄露 发现时间 2023-11-23 漏洞等级 低危 MPS编号 MPS-dj38-h2yb CVE编号 CVE-2023-43123 漏洞影响广度 一般 漏洞危害 OSCS 描述 Storm 是一个分布式实时计算系统。Storm 提供一组用于执行实时计算的通用原语。 受影响版本中,Storm中使用File.createTempFil…

    2023年11月23日
    0
  • 泛微e-cology < 10.76 前台SQL注入漏洞 漏洞

    泛微e-cology < 10.76 前台SQL注入漏洞

    【高危】泛微e-cology < 10.76 前台SQL注入漏洞 漏洞描述 泛微e-cology是泛微公司开发的协同管理应用平台。受影响版本中,攻击者可未授权通过/api/doc/out/more/list接口构造恶意参数注入恶意sql语句到临时存储redis,进而通过/api/ec/dev/table/counts接口从临时存储redis取出恶意sq…

    2025年7月10日
    0
  • Node.js setuid 权限管理不当漏洞 (CVE-2024-22017) 漏洞

    Node.js setuid 权限管理不当漏洞 (CVE-2024-22017)

    漏洞类型 权限管理不当 发现时间 2024-03-19 漏洞等级 高危 MPS编号 MPS-53sx-8oyz CVE编号 CVE-2024-22017 漏洞影响广度 广 漏洞危害 OSCS 描述 Node.js 是开源、跨平台的 JavaScript 运行时环境。io_uring是Linux内核提供的一种高性能异步I/O机制。 在受影响的版本中,由于lib…

    2024年3月25日
    0
  • vm2 <=3.9.19 远程代码执行漏洞(Promise 绕过) (CVE-2023-37466) 漏洞

    vm2 <=3.9.19 远程代码执行漏洞(Promise 绕过) (CVE-2023-37466)

    漏洞类型 注入 发现时间 2023/7/14 漏洞等级 严重 MPS编号 MPS-dvto-znpx CVE编号 CVE-2023-37466 漏洞影响广度 广 漏洞危害 OSCS 描述 vm2 是一个基于 Node.js 的沙箱环境,Promise 对象用来处理异步代码。3.9.19 及之前版本中,Promise 处理程序的过滤机制可以被绕过,攻击者可通过…

    2023年8月31日
    0