发现NPM恶意包获取敏感信息,疑似攻击者测试行为

安全预警

  • 2021年11月16日,天问软件空间测绘系统捕获到在npmjs源中新上传了一个名为 @zenhomes/frontend-dev-login 的包,其版本号为9999.999.3,该包中的恶意代码触发了监测系统的实时预警。一经发现,安全研究人员立即进行了分析,并上报了npm社区。

恶意分析

  • 该包内仅包含一个package.json文件,恶意代码存在于该文件的scripts字段中: 这段代码会在npm包安装之前执行,其效果是将用户安装环境的hostname、whoami、pwd、ls命令得到的敏感信息进行base64编码,然后发送到url为https://ss9.000webhostapp.com/SSRF/ssrf.php?name=DepConf 上的服务进行接收。
  • 在访问该URL后发现,疑似为攻击者正在测试接收敏感的服务,一些日志接口直接暴露,我们看到已经被拿到的敏感信息存在于log中,并可直接访问。

总结

  • 本次触发天问软件空间监测预警的疑似为攻击者的恶意行为测试活动,虽然不会造成安全问题,但是很有可能是为之后的攻击行为所做的准备,天问软件空间测绘系统将持续跟进。