四个JavaScript npm包包含收集用户详细信息并将信息上载到公共GitHub页面的恶意代码。
识别此恶意代码的四个包包括:
- electron:255次下载
- lodahs:78下载下载:48次下载下载,全部4个软件包由同一用户开发(simplelive12),并于8月上传到npm门户网站。两个包(lodashs,loadyml)在发表后不久被作者删除,但在感染一些用户之前并没有被删除。
其余的包,electorn和loadyaml上周于10月1日被删除,npm安全团队根据Sonatype的报告,作为开发人员安全操作(DevSecOps)服务的一部分,监视公共包存储库的公司。
根据Sonatype安全研究人员Ax Sharma,这四个恶意软件包使用了一种称为打字以获得安装。
这四个都是对更流行的软件包的拼写错误,他们依赖于用户在输入流行软件包名称时出错,以便在别人的代码库中钻空子。
但一旦开发人员错误地包含并安装了这四个恶意软件包中的一个,在其中发现的恶意代码将收集开发人员的IP地址、国家、城市、计算机用户名和家庭目录路径,以及CPU型号信息,并将此信息作为新注释发布在GitHub存储库的“问题”部分中。
