恶意 NPM 包从浏览器中窃取用户保存的密码

官方 NPM 存储库中提供的软件包实际上是一个工具的前端，该工具旨在从 Chrome 网络浏览器中窃取保存的密码。

有问题的包名为“ nodejs_net_server ”，自 2019 年 2 月以来下载了超过 1,283 次，最后一次更新是在七个月前（版本 1.1.2），其相应的存储库导致托管在 GitHub 上的位置不存在。

ReversingLabs 研究员 Karlo Zanki在与 The Hacker News 分享的分析中说： “它本身并不是恶意的，但当它被置于恶意使用环境中时，它就可能是恶意的。” “例如，这个包使用它来执行恶意密码窃取和凭据泄露。尽管这个现成的密码恢复工具带有图形用户界面，但恶意软件作者喜欢使用它，因为它也可以从命令运行线。”

虽然该包的第一个版本只是为了测试发布 NPM 包的过程，但名为“chrunlee”的开发人员进行了后续修订以实现远程 shell 功能，该功能是在几个后续版本。

随后添加了一个脚本，用于下载托管在其个人网站（“hxxps://chrunlee.cn/a.exe”）上的ChromePass密码窃取工具，仅在三周后对其进行修改以运行 TeamViewer 远程访问软件。

有趣的是，作者还滥用了“package.json”文件中指定的NPM包的配置选项，特别是用于安装JavaScript可执行文件的“ bin ”字段，劫持了名为“jstest”的合法包的执行——一个交叉-platform JavaScript 测试框架——带有恶意变体，利用它通过命令行启动服务，该服务能够接收一系列命令，包括文件查找、文件上传、shell 命令执行以及屏幕和摄像头录制。

ReversingLabs 表示，它两次向 NPM 的安全团队报告了该恶意程序包，一次是在 7 月 2 日，一次是在 7 月 15 日，但指出迄今为止尚未采取任何行动将其删除。我们已经联系 NPM 进行进一步澄清，我们会在收到回复后更新故事。

如果有的话，随着软件供应链攻击成为威胁行为者滥用对互连 IT 工具的信任来上演越来越复杂的安全漏洞的流行策略，开发再次暴露了依赖托管在公共包存储库上的第三方代码的差距。

“软件包存储库的日益流行及其易用性使它们成为一个完美的目标，”Zanki 说。“当开发人员重用现有库以更快、更轻松地实现所需功能时，他们很少在将它们纳入项目之前进行深入的安全评估。”

“这种遗漏是由于在第三方代码中发现的大量潜在安全问题具有压倒性的性质和数量。因此，通常会快速安装软件包以验证它们是否解决了问题，如果没有，转向替代方案。这是一种危险的做法，它可能导致恶意软件的意外安装，“Zanki 补充道。

更新：有问题的 NPM 软件包现已从存储库中删除，GitHub 发言人告诉 The Hacker News，“我们根据 npm 对恶意软件的可接受使用政策删除了该软件包，如其开源条款中所述。”

访问“ nodejs_net_server ”的 NPM 页面现在会显示消息“此程序包包含恶意代码，已被 NPM 安全团队从注册表中删除”。