已移除，惡意 npm 軟件包被發(fā)現(xiàn)：利用圖像文件隱藏后門代碼

IT之家 7 月 17 日消息，The Hacker News 昨日（7 月 16 日）發(fā)布博文，報道稱 npm 軟件包列表中發(fā)現(xiàn)了 2 個惡意軟件包，可以執(zhí)行從遠程服務(wù)器發(fā)送的惡意命令。

這兩個惡意軟件包分別為 img-aws-s3-object-multipart-copy 和 legacyaws-s3-object-multipart-copy，目前分別已被下載 190 次和 48 次，截至IT之家發(fā)稿為止，這兩個惡意軟件包已被 npm 安全團隊清理。

軟件供應(yīng)鏈安全公司 Phylum 在一份分析報告中說：“這些軟件包含隱藏在圖像文件中的復(fù)雜命令和控制功能，這些命令和控制功能將在軟件包安裝過程中執(zhí)行”。

這兩個軟件包會冒充名為 aws-s3-object-multipart-copy 的合法 npm 庫，但附帶了一個經(jīng)過修改的“index.js”文件版本，用于執(zhí)行一個 JavaScript 文件（“loadformat.js”）。

該 JavaScript 文件通過發(fā)送主機名和操作系統(tǒng)詳細信息，在命令與控制（C2）服務(wù)器上注冊新客戶端，然后會嘗試每隔五秒定期執(zhí)行攻擊者發(fā)布的命令。

IT之家注：npm 是 Node.js 默認的、用 JavaScript 編寫的軟件包管理系統(tǒng)。

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。