在 NPM 存储库中 四个软件包中存在恶意活动,其中包括预安装脚本,该脚本在安装软件包之前向 GitHub 发送一条评论,其中包含有关用户的 IP 地址、位置、登录名、CPU 型号和主目录的信息。 包中发现恶意代码 (255 次下载), (78 次下载), (48 次下载)和 (37 次下载)。
问题包于 17 月 24 日至 XNUMX 月 XNUMX 日发布到 NPM 进行分发,使用 , IE。 分配与其他流行库的名称类似的名称,并期望用户在键入名称时会出现拼写错误,或者在从列表中选择模块时不会注意到差异。 从下载量来看,大约有 400 名用户上当,其中大多数人将 electorn 与 Electron 混淆了。 目前有 electorn 和 loadyaml 包 由 NPM 管理部门删除,lodashs 和 loadyml 软件包被作者删除。
攻击者的动机尚不清楚,但推测通过 GitHub 泄露的信息(评论是通过 Issue 发送的,并在 XNUMX 小时内被删除)可能是在评估该方法有效性的实验期间进行的,或者是攻击计划分几个阶段进行,第一个阶段收集受害者的数据,第二个阶段由于阻止而未能实施,攻击者打算发布一个更新,其中包含更危险的恶意代码或后门新版本。
来源: opennet.ru