昨日(7月16日),网络安全公司发布报告称,位于软件包列表中的两个恶意软件包img-aws-s3-object-multipart-copy和legacyaws-s3-object-multipart-copy已遭发现,并遭到广泛关注。这两个恶意软件包的下载次数分别为190次和48次,幸运的是,npm安全团队已经成功清理了它们。
根据一份分析报告指出,这些软件包含隐藏在图像文件中的复杂命令和控制功能,在软件包安装过程中会被执行。此外,这些软件包会冒充名为"aws-s3-object-multipart-copy"的合法软件库,但附带了一个经过修改的"index.js"文件版本,用于执行一个名为"loadformat.js"的JavaScript文件。
当用户安装该恶意软件包后,JavaScript文件将会发送主机名和操作系统详细信息到命令与控制服务器上注册新客户端,并尝试定期每隔五秒执行攻击者发布的命令。而这些操作都是通过一种名为"loadformat.js"的脚本完成的。
值得注意的是,img-aws-s3-object-multipart-copy和legacyaws-s3-object-multipart-copy都会捆绑一个“
index.js
”版本,并以它为目标文件进行传播。这个“
index.js
”文件不仅是一个JS脚本引擎所依赖的编译器、解析器、加载器等组件构成,也提供了执行命令与控制所需的基本功能。
总结来说,此次事件提醒我们要注意对软件包的安全检测和排查,并建议用户立即更新自己的Node.js版本并删除可疑的软件包。
新浪科技公众号
“掌”握科技鲜闻 (微信搜索techsina或扫描左侧二维码关注)
