背后的安全团队https://www.npmjs.com“target=”noopener noreferrer nofollow“data component=”externalLink“>npm”JavaScript库存储库本周一删除了两个npm包,因为它们包含在开发人员的计算机上安装了远程访问特洛伊木马(RAT)的恶意代码在JavaScript项目中。
这两个包的名称是jdb.js公司和db-json.js文件。,这两个软件包都是由同一个作者创建的,并自称是帮助开发人员处理通常由数据库应用程序生成的JSON文件的工具。
这两个包都是上周上传到npm包注册表上的,在它们的恶意行为发生之前,它们被下载了100多次href=“https://blog.sonatype.com/bladabindi-nzrat-rat-in-jdb.js-npm-malware“target=”noopener noreferrer nofollow“data component=”externalLink“>被Sonatype检测到,该公司定期扫描软件包存储库。
根据Sonatype的Ax Sharma,这两个程序包包含一个恶意脚本,该脚本在web开发人员导入并安装这两个恶意库中的任何一个后执行。
安装后脚本对受感染的主机执行基本侦察,然后尝试下载并运行名为补丁.exe(
为了确保nzrat下载不会出现任何问题,夏尔玛说补丁.exeloader还修改了本地Windows防火墙,在ping回其操作员并启动RAT下载之前,添加了一个规则以将其命令和控制(C&C)服务器白名单。
所有这些行为都包含在jdb.js公司仅包,而第二个包,db-json.js文件,加载了第一个,试图掩饰其恶意行为。
由于感染任何类型的鼠状恶意软件都被视为严重事件,在周一的安全警报中,npm安全团队建议web开发人员将其系统视为完全受损,如果他们安装了这两个软件包中的任何一个。
“安装或运行此软件包的任何计算机都应被视为完全受损,“npm团队表示,
“存储在该计算机上的所有机密和密钥应立即从另一台计算机上旋转。
”应移除该包,但是,由于计算机的完全控制权可能已经交给了外部实体,因此无法保证删除软件包会删除安装它所产生的所有恶意软件,”他们还补充道。
而npm安全团队每周发布安全建议,其中大多数都是针对包代码中的漏洞,这些漏洞可能会在将来被利用。
然而,自8月底以来,npm安全团队发现越来越多的npm库被故意放在一起以从受感染的系统中窃取数据,这表明一些theat参与者现在对破坏程序员的工作站,试图破坏和窃取敏感项目、源代码和知识产权的证书,或者准备更大规模的供应链攻击。
以前的案例包括:
