報告來源:OSCS開源安全社群
更新日期:2022-07-04
事件簡述
NPM 是 Node.js 包管理工具,提供了對第三方 Node.js 包的查找、下載下傳、安裝、解除安裝等功能。
2022 年 07 月 04 日,OSCS 監測發現 NPM 官方倉庫被 btwiuse 上傳了 btwiuse、k0s 惡意元件包,使用惡意元件包後會在使用者電腦上加載名為 k0s 的遠控木馬,危害較為
嚴重
,OSCS 提醒廣大開發者關注。
詳細分析
以 k0s 元件為例,其目錄結構如下:
index.js
package.json
引入該元件後會執行遠控木馬程式,危險代碼存在于 package.json 與 index.js 檔案中。
惡意代碼如下:
進行代碼溯源可發現會安裝如下位址的遠端控制服務
https://github.com/btwiuse/k0s.git/
其遠控服務端位址如下
https://k0s.io/
OSCS 開源安全社群建議廣大使用者做好資産自查以及預防工作,以免遭受黑客攻擊。
處置建議
OSCS 開源安全社群建議使用者通過以下方式排查:
1、使用npm ls或npm ls -g指令檢視是否安裝惡意元件
2、排查項目 package.json 是否引用惡意元件
具體可參考:
https://www.oscs1024.com/hd/MPS-2022-41934/
時間線
7月1日,攻擊者上傳了 k0s 的惡意包
7月3日,攻擊者上傳了 btwiuse 的惡意包
7月4日,OSCS 監測到本次惡意 NPM 包投毒行為,已有伺服器被攻擊者控制
了解更多
1. 免費使用 OSCS 的情報訂閱服務
OSCS (開源軟體供應鍊安全社群)會第一時間釋出開源項目最新的安全風險動态,包括開源元件安全漏洞、投毒情報等資訊,社群使用者可通過企微、釘釘、飛書等方式進行訂閱。
具體訂閱方式詳見:
https://www.oscs1024.com/docs/vuln-warning/intro/