江苏
关键词
恶意软件
网络安全研究人员近期发现,一组伪装成常用库的恶意 npm 包正被用来向 Windows、Linux 与 macOS 目标投放信息窃取器。攻击链呈多阶段运行:恶意包在安装时通过 postinstall 钩子触发,先以伪造的 CAPTCHA 与看似正常的安装输出迷惑用户,然后在后台下载并执行一个约 24MB、由 PyInstaller 打包的信息窃取程序,对系统中的凭证与会话数据进行全面搜集并外泄。
据 Socket 安全研究员 Kush Pandya 报告,这些恶意包于 2025 年 7 月 4 日上传至 npm 注册表,合计下载量约 9,900 次。被发现的包名包括 deezcord.js、dezcord.js、dizcordjs、etherdjs、ethesjs、ethetsjs、nodemonjs、react-router-dom.js、typescriptjs 与 zustand.js——本质上是对常见且流行的库(如 TypeScript、discord.js、ethers.js、nodemon、react-router-dom、zustand 等)进行的拼写欺骗(typosquatting)。
安装时,恶意包会展示一个伪造的 CAPTCHA 提示,同时在终端输出上模拟真实安装流程以降低怀疑。包内会首先收集受害者的 IP 地址并发送到外部服务器(报告中列出的 IP 为 195.133.79[.]43),随后通过多层混淆的 JavaScript(四层混淆:动态密钥的 XOR、URL 编码、十六进制与八进制算术等手法)释放并执行名为 “app.js” 的载荷。该脚本会根据操作系统在新的终端窗口中启动,以便独立于 npm 安装进程运行;研究者指出,恶意程序会迅速清空新弹出窗口的内容以逃避目视检查。
最终阶段,恶意脚本从相同服务器下载并运行名为 “data_extracter” 的信息窃取器。该窃取器针对三大平台实现了多项能力:扫描浏览器、配置文件与 SSH 密钥以获取会话 cookie 与令牌;并调用系统 keyring(通过 keyring npm 库的跨平台实现)直接提取操作系统凭证。研究者特别指出,系统 keyring 常储存 email 客户端、云同步工具、VPN、密码管理器与数据库连接字符串等敏感凭证,直接从 keyring 获取的凭证通常为明文形式,可被立即用于对公司邮箱、文件存储、内部网络与生产数据库的访问。窃取到的数据会被压缩为 ZIP 包并上传到攻击者控制的服务器。
这一攻击样式凸显了对开源包依赖链的严重风险:通过拼写相近包名进行诱导安装,再利用安装生命周期中的自动化钩子执行恶意代码,从而在开发者本地机器上长期、静默地获取敏感凭证。针对开发者和组织,研究人员与厂商的警告包括:在安装包前务必核验包名与发布者、使用官方镜像与签名验证、限制自动执行安装脚本的权限,并对关键凭证采取多重防护(如硬件 MFA、分离的凭证存储与定期审计)。如果怀疑受感染,应立即断网、检查安装记录与 postinstall 脚本、清理可疑文件并更换受影响的凭证与令牌。
安全圈
网罗圈内热点 专注网络安全
实时资讯一手掌握!
好看你就分享 有用就点个赞
支持「安全圈」就点个三连吧!
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
