【安全圈】恶意npm包“ambar-src”投毒Windows、Linux与macOS

关键词

恶意软件

安全公司 Tenable Research 披露，一个名为 “ambar-src” 的恶意 npm 包在被下架前已累计约 5 万次下载，针对 Windows、Linux 与 macOS 开发者发起跨平台攻击。该包利用典型的 typosquatting（拼写劫持）手法，伪装成下载量超千万的热门包 ember-source，诱导开发者误装。

攻击者于 2 月 13 日先发布无害版本建立“信誉”，在积累近 3 万次下载后，于 2 月 16 日更新植入恶意代码。其核心利用 npm 的 preinstall 脚本机制——只要执行npm install ambar-src，恶意载荷即被触发，开发者甚至无需手动调用代码。

不同系统对应不同攻击链：Windows 会下载并执行名为 msinit.exe 的文件，加载加密 shellcode；Linux 拉取 ELF 二进制“osa”，被识别为 Golang 反向 shell“reverse_ssh”客户端；macOS 则通过 osascript 下载 500KB 的 JavaScript 载荷，被确认是来自 Apfell 的组件，可窃取 Chrome 数据并弹出伪造密码框。初始载荷从 x-ya.ru 获取，后续 C2 通信则通过 function.yandexcloud.ru 中继，借助正常云服务流量掩护。

研究人员指出，该样本是此前“eslint-verify-plugin”攻击活动的升级版，加入十六进制混淆与代码伪装技术，隐蔽性更强。虽然 npm 在恶意版本上线不到 5 小时内将其移除，但已感染主机应被视为“完全失陷”。仅卸载包远远不够，必须在干净设备上轮换所有密钥与凭证，并排查持久化后门。

这一事件再次说明，供应链攻击正在向更精细化与长期化演进。对开发团队而言，锁定依赖版本、启用软件源完整性校验与内部镜像审核机制，已不再是可选项，而是基本防线。

安全圈

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！