【安全圈】恶意 npm 包被发现窃取开发者凭证涉及多个操作系统

关键词

恶意软件

网络安全研究人员近期发现，一组伪装成常用库的恶意 npm 包正被用来向 Windows、Linux 与 macOS 目标投放信息窃取器。攻击链呈多阶段运行：恶意包在安装时通过 postinstall 钩子触发，先以伪造的 CAPTCHA 与看似正常的安装输出迷惑用户，然后在后台下载并执行一个约 24MB、由 PyInstaller 打包的信息窃取程序，对系统中的凭证与会话数据进行全面搜集并外泄。

据 Socket 安全研究员 Kush Pandya 报告，这些恶意包于 2025 年 7 月 4 日上传至 npm 注册表，合计下载量约 9,900 次。被发现的包名包括 deezcord.js、dezcord.js、dizcordjs、etherdjs、ethesjs、ethetsjs、nodemonjs、react-router-dom.js、typescriptjs 与 zustand.js——本质上是对常见且流行的库（如 TypeScript、discord.js、ethers.js、nodemon、react-router-dom、zustand 等）进行的拼写欺骗（typosquatting）。

安装时，恶意包会展示一个伪造的 CAPTCHA 提示，同时在终端输出上模拟真实安装流程以降低怀疑。包内会首先收集受害者的 IP 地址并发送到外部服务器（报告中列出的 IP 为 195.133.79[.]43），随后通过多层混淆的 JavaScript（四层混淆：动态密钥的 XOR、URL 编码、十六进制与八进制算术等手法）释放并执行名为 “app.js” 的载荷。该脚本会根据操作系统在新的终端窗口中启动，以便独立于 npm 安装进程运行；研究者指出，恶意程序会迅速清空新弹出窗口的内容以逃避目视检查。

最终阶段，恶意脚本从相同服务器下载并运行名为 “data_extracter” 的信息窃取器。该窃取器针对三大平台实现了多项能力：扫描浏览器、配置文件与 SSH 密钥以获取会话 cookie 与令牌；并调用系统 keyring（通过 keyring npm 库的跨平台实现）直接提取操作系统凭证。研究者特别指出，系统 keyring 常储存 email 客户端、云同步工具、VPN、密码管理器与数据库连接字符串等敏感凭证，直接从 keyring 获取的凭证通常为明文形式，可被立即用于对公司邮箱、文件存储、内部网络与生产数据库的访问。窃取到的数据会被压缩为 ZIP 包并上传到攻击者控制的服务器。

这一攻击样式凸显了对开源包依赖链的严重风险：通过拼写相近包名进行诱导安装，再利用安装生命周期中的自动化钩子执行恶意代码，从而在开发者本地机器上长期、静默地获取敏感凭证。针对开发者和组织，研究人员与厂商的警告包括：在安装包前务必核验包名与发布者、使用官方镜像与签名验证、限制自动执行安装脚本的权限，并对关键凭证采取多重防护（如硬件 MFA、分离的凭证存储与定期审计）。如果怀疑受感染，应立即断网、检查安装记录与 postinstall 脚本、清理可疑文件并更换受影响的凭证与令牌。

安全圈

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！