【高危】NPM组件 @google_cloud/common 等窃取主机敏感信息
漏洞描述
当用户安装受影响版本的 @google_cloud/common 等NPM组件包时会窃取用户的主机名、用户名、IP地址、passwd 文件等信息并发送到攻击者可控的服务器地址。
| MPS编号 | MPS-4vbj-7ioz |
|---|---|
| 处置建议 | 强烈建议修复 |
| 发现时间 | 2025-08-23 |
| 投毒仓库 | npm |
| 投毒类型 | 主机信息收集 |
| 利用成本 | 低 |
| 利用可能性 | 中 |
影响范围
| 影响组件 | 受影响的版本 | 最小修复版本 |
|---|---|---|
| nextjs14-approuter | [9.0.1, 9.0.1] | – |
| tailwind-icon | [1.0.0, 1.0.0] | – |
| tailwindcss-animation-ux | [1.0.0, 1.0.0] | – |
| api-react128 | [99.0.9, 99.0.9] | – |
| @listr1/prompt-adapter-inquirer | [20.1.1, 20.1.1] | – |
| api-react123 | [99.0.9, 99.0.9] | – |
| testpaypal-auth-helpers | [1.0.0, 1.1.0] | – |
| @google_cloud/common | [20.1.1, 20.1.1] | – |
| api-react124 | [99.0.9, 99.0.9] | – |
| terminal-suggest | [1.0.2, 1.0.2] | – |
| vue-components-load | [1.0.2, 2.1.4] | – |
| api-react125 | [99.0.9, 99.0.9] | – |
| cookie.gulp | [99.0.9, 99.0.9] | – |
| epxreso | [5.1.3, 5.1.3] | – |
| jsonjoy.com | [20.1.1, 20.1.1] | – |
| api-react | [99.9.9, 99.9.9] | – |
| parabol-client | [9.1.1, 9.1.1] | – |
| r00tsid | [9999.0.0, 9999.0.0] | – |
| cornerstone_ui_core | [99.9.0, 99.9.0] | – |
| jestty | [1.3.9, 1.3.14] | – |
| dotevn | [17.2.1, 17.2.1] | – |
| internallib_v52 | [1.0.1, 1.0.1] | – |
| msal-node2 | [99.0.9, 99.0.9] | – |
| api-react129 | [99.0.0, 99.0.0] | – |
| ad-react-wrapper | [1.0.0, 99.0.0] | – |
| tombac-icons | [1.0.0, 1.0.1] | – |
| react-markdown-v7 | [1.0.0, 1.0.5] | – |
| api-react127 | [99.0.9, 99.0.9] | – |
| donuts.node | [99.0.9, 99.0.9] | – |
| error-analysis | [1.0.1, 1.0.1] | – |
| google-profanity-words | [1.0.0, 1.0.1] | – |
| internallib_v915 | [1.0.1, 1.0.3] | – |
| mathy-console | [0.8.0, 0.8.0] | – |
| api-react12 | [99.0.9, 99.9.9] | – |
| secured-ssh | [1.6.9, 1.6.9] | – |
| r00tsid1 | [9999.0.0, 9999.0.0] | – |
| appinsightsnew | [1.0.0, 1.0.0] | – |
| @google_cloud/precise-date | [20.1.1, 20.1.1] | – |
| umaaas-api | [1.0.1, 1.0.2] | – |
| bc-compare | [4.1.1, 4.1.1] | – |
| ethersnode | [1.2.0, 1.3.0] | – |
| google-library | [20.1.1, 20.1.1] | – |
| @jsonjoy-com/base64 | [20.1.1, 20.1.1] | – |
| uprove-node-reference | [99.0.9, 99.0.9] | – |
| msal-node1 | [99.0.9, 99.0.9] | – |
参考链接
https://www.oscs1024.com/hd/MPS-4vbj-7ioz
安全处理建议
- 排查是否安装了受影响的包:
使用墨菲安全软件供应链安全平台等工具快速检测是否引入受影响的包。 - 立即移除受影响包:
若已安装列表中的恶意包,立即执行 npm uninstall <包名>,并删除node_modules和package-lock.json后重新安装依赖。 - 全面检查系统安全:
运行杀毒软件扫描,检查是否有异常进程、网络连接(重点关注境外 IP 通信),排查环境变量、配置文件是否被窃取(如数据库密码、API 密钥等),必要时重置敏感凭证。 - 加强依赖管理规范:
- 仅从官方 NPM 源安装组件,避免使用第三方镜像或未知来源的包。
- 使用npm audit、yarn audit定期检查依赖漏洞。
- 限制package.json中依赖的版本范围(如避免*或latest),优先选择下载量高、社区活跃的成熟组件。
- 集成墨菲安全软件供应链安全平台等工具自动监控风险。
一键自动排查全公司此类风险
墨菲安全为您免费提供一键排查全公司开源组件漏洞&投毒风险服务,可一键接入扫描全公司的代码仓库、容器镜像仓库、主机、制品仓库等。
试用地址:https://www.murphysec.com/adv?code=3529
提交漏洞情报:https://www.murphysec.com/bounty
关于本次投毒的分析
-
包名:@google_cloud/common@20.1.1
攻击目标:使用Google Cloud SDK的项目
理由:仿冒官方@google-cloud/common(下划线替代连字符),诱导开发者误安装以窃取云环境敏感信息。 -
包名:api-react@99.9.9
攻击目标:React应用
理由:仿冒React API辅助库,版本号异常(99.9.9),针对使用React的前端项目收集主机信息。 -
包名:tailwind-icon@1.0.0
攻击目标:Tailwind CSS前端项目
理由:伪装成Tailwind图标组件,利用开发者对Tailwind生态的依赖进行主机信息窃取。 -
包名:vue-components-load@1.0.2
攻击目标:Vue.js项目
理由:伪装成Vue组件加载库,针对Vue.js应用,窃取主机名、IP等敏感信息。
