【安全资讯】NPM平台发现数十个恶意软件包收集主机和网络数据

概要：

近期，NPM平台上发现了60个恶意软件包，这些软件包试图收集敏感的主机和网络数据，并将其发送至攻击者控制的Discord webhook。这一事件引发了网络安全专家的广泛关注，尤其是在开发者日益依赖开源软件的背景下。

主要内容：

这些恶意软件包自5月12日起由三个发布者账户上传至NPM库，包含一个在‘npm install’过程中自动执行的后安装脚本。该脚本收集的信息包括主机名、内部IP地址、用户主目录、当前工作目录、用户名以及系统DNS服务器。脚本还会检查与云服务提供商相关的主机名，以判断是否在分析环境中运行。

尽管Socket的研究团队没有观察到第二阶段有效载荷的交付或特权升级等持久机制，但收集的数据类型表明，针对网络的攻击风险显著。研究人员报告了这些恶意软件包，但在撰写时，它们仍然在NPM上可用，累计下载量达3000次。为了诱使开发者使用，这些恶意软件包使用了与合法软件包相似的名称，如‘flipper-plugins’和‘react-xterm2’等，试图营造信任感。

此外，Socket还揭露了另一项恶意活动，涉及八个通过拼写错误模仿合法工具的恶意软件包，这些软件包能够删除文件、破坏数据并关闭系统。尽管这些软件包的威胁已因硬编码日期而减弱，但移除它们仍然至关重要，以防其作者未来引入更新重新触发破坏功能。