网易首页 > 网易号 > 正文 申请入驻

【安全圈】恶意npm包“ambar-src”投毒Windows、Linux与macOS

0
分享至

关键词

恶意软件


安全公司 Tenable Research 披露,一个名为 “ambar-src” 的恶意 npm 包在被下架前已累计约 5 万次下载,针对 Windows、Linux 与 macOS 开发者发起跨平台攻击。该包利用典型的 typosquatting(拼写劫持)手法,伪装成下载量超千万的热门包 ember-source,诱导开发者误装。

攻击者于 2 月 13 日先发布无害版本建立“信誉”,在积累近 3 万次下载后,于 2 月 16 日更新植入恶意代码。其核心利用 npm 的 preinstall 脚本机制——只要执行npm install ambar-src,恶意载荷即被触发,开发者甚至无需手动调用代码。

不同系统对应不同攻击链:Windows 会下载并执行名为 msinit.exe 的文件,加载加密 shellcode;Linux 拉取 ELF 二进制“osa”,被识别为 Golang 反向 shell“reverse_ssh”客户端;macOS 则通过 osascript 下载 500KB 的 JavaScript 载荷,被确认是来自 Apfell 的组件,可窃取 Chrome 数据并弹出伪造密码框。初始载荷从 x-ya.ru 获取,后续 C2 通信则通过 function.yandexcloud.ru 中继,借助正常云服务流量掩护。

研究人员指出,该样本是此前“eslint-verify-plugin”攻击活动的升级版,加入十六进制混淆与代码伪装技术,隐蔽性更强。虽然 npm 在恶意版本上线不到 5 小时内将其移除,但已感染主机应被视为“完全失陷”。仅卸载包远远不够,必须在干净设备上轮换所有密钥与凭证,并排查持久化后门。

这一事件再次说明,供应链攻击正在向更精细化与长期化演进。对开发团队而言,锁定依赖版本、启用软件源完整性校验与内部镜像审核机制,已不再是可选项,而是基本防线。


安全圈


网罗圈内热点 专注网络安全

实时资讯一手掌握!

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧!

特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。

Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.

相关推荐
热点推荐
对越还击战中的那些叛徒,主动投敌行径令人不齿,最终的结局无不大快人心

对越还击战中的那些叛徒,主动投敌行径令人不齿,最终的结局无不大快人心

老杉说历史
2026-02-06 12:59:08
国内将逐渐停止“CT检查”?做完人就废了?医生告诉您真相!

国内将逐渐停止“CT检查”?做完人就废了?医生告诉您真相!

荆医生科普
2026-02-28 23:05:03
恩爱23年抵不过现实,73岁梁锦松年老色衰,47岁伏明霞花样年华

恩爱23年抵不过现实,73岁梁锦松年老色衰,47岁伏明霞花样年华

小熊侃史
2026-02-24 18:03:53
中华人民共和国正式向全世界宣告两件大事:

中华人民共和国正式向全世界宣告两件大事:

百态人间
2026-02-28 15:25:01
营销造假?有网友发现鸿蒙智行多个营销视频使用加速、倒放素材

营销造假?有网友发现鸿蒙智行多个营销视频使用加速、倒放素材

新浪财经
2026-02-28 22:28:30
北京卖豆汁大爷爆火,小伙质疑里面掺粪,现场直接举报,当场带走

北京卖豆汁大爷爆火,小伙质疑里面掺粪,现场直接举报,当场带走

离离言几许
2026-02-26 16:20:55
伊朗外长:美以打完后,愿重启谈判

伊朗外长:美以打完后,愿重启谈判

观察者网
2026-03-01 08:39:35
从国宴到夜宵摊:国产汽水如何从统治者沦为乞丐

从国宴到夜宵摊:国产汽水如何从统治者沦为乞丐

富贵说
2026-02-27 16:40:22
真相曝光!国际篮联根本不是认错,吹中国黑哨的裁判,恐全身而退

真相曝光!国际篮联根本不是认错,吹中国黑哨的裁判,恐全身而退

青橘罐头
2026-03-01 10:00:20
陈若琳也没想到,春节刚过10天,全红婵仅凭一个举动再次口碑暴增

陈若琳也没想到,春节刚过10天,全红婵仅凭一个举动再次口碑暴增

社会日日鲜
2026-02-28 12:16:51
中共中央组织部最新署名文章,信息量很大

中共中央组织部最新署名文章,信息量很大

中国乡村振兴
2026-03-01 14:28:55
朝鲜阅兵式现场大将仅剩5人!战略军直接被裁?

朝鲜阅兵式现场大将仅剩5人!战略军直接被裁?

IN朝鲜
2026-02-28 10:45:32
特朗普下令:所有联邦政府机构将立即停用Anthropic

特朗普下令:所有联邦政府机构将立即停用Anthropic

财联社
2026-02-28 05:45:05
苏翊鸣谷爱凌参加表彰大会彼此不熟,都挺疲惫,快睡着了眼皮耷拉

苏翊鸣谷爱凌参加表彰大会彼此不熟,都挺疲惫,快睡着了眼皮耷拉

乐悠悠娱乐
2026-03-01 10:23:24
天生一张娃娃脸都已经46了,你敢想?

天生一张娃娃脸都已经46了,你敢想?

林子说事
2026-02-28 01:05:13
媒体发布卫星图 显示哈梅内伊住所遭袭的前后对比景象

媒体发布卫星图 显示哈梅内伊住所遭袭的前后对比景象

财联社
2026-03-01 13:07:07
迪拜国际机场遭袭

迪拜国际机场遭袭

财联社
2026-03-01 05:34:14
国安半场领先!海港两度中柱,拉莫斯遭炮轰:太冒失隐患太大

国安半场领先!海港两度中柱,拉莫斯遭炮轰:太冒失隐患太大

奥拜尔
2026-03-01 16:22:16
中国马拉松进入205时代!最强00后丰配友打破何杰纪录

中国马拉松进入205时代!最强00后丰配友打破何杰纪录

全景体育V
2026-03-01 10:23:24
美伊开战,却被中国卫星盯死!“天眼”24小时扫描,美军零秘密

美伊开战,却被中国卫星盯死!“天眼”24小时扫描,美军零秘密

小樾说历史
2026-03-01 11:31:54
2026-03-01 17:47:00
安全圈
安全圈
国内首家大安全概念新媒体
6427文章数 4690关注度
往期回顾 全部

科技要闻

小米超跑概念车全球首秀!杀入顶豪俱乐部

头条要闻

哈梅内伊"回归天国" 美以如何确认其行踪引发内鬼猜测

头条要闻

哈梅内伊"回归天国" 美以如何确认其行踪引发内鬼猜测

体育要闻

火箭输给热火:乌度卡又输斯波教练

娱乐要闻

《江山为聘》:吴谨言陈哲远燃炸朝堂

财经要闻

中东局势升级 如何影响A股、黄金和原油

汽车要闻

理想汽车2月交付26421辆 历史累计交付超159万辆

态度原创

本地
教育
健康
手机
公开课

本地新闻

津南好·四时总相宜

教育要闻

“萝卜达到这个程度也认了!”湖南高校招聘钢琴教师,演都不演了

转头就晕的耳石症,能开车上班吗?

手机要闻

小米卢伟冰官宣明日直播

公开课

李玫瑾:为什么性格比能力更重要?

无障碍浏览 进入关怀版