流行存储库中发现超过 1,000 个恶意 JavaScript 包

流行的 JavaScript 包存储库 NPM 宣布已清理其档案中发现的大约 1,300 个恶意包。 NPM 是一个资源存储库，允许用户搜索适合其需求的 JavaScript 包并保持其应用程序依赖项处于最新状态。

隐藏在 JS 包中的恶意软件

安全公司 WhiteSource 进行的研究表明，通过 NPM 分发和下载的恶意程序包的数量在过去几个月中显着增加。应用程序中存在恶意代码可能意味着该应用程序可用作数据盗窃或提供恶意软件的工具。

对检测到的恶意包的统计剖析显示，其中一小部分（约 14%）用于数据盗窃和窃取凭据，而大多数恶意包（约 86%）用于被动侦察和数据收集。以这种方式获得的数据可用于支持对潜在目标实体发起全面的后续攻击。

希望执行供应链攻击的不良行为者

存在超过一千个恶意程序包是一个问题的原因是 NPM 是一个非常受欢迎的存储库。 NPM 每周为 200 亿次包下载提供服务，这些惊人数量的包随后被安装在世界各地的 Web 服务中。

WhiteSource 发现的一些恶意软件包包括：

H98dx，远程外壳

Azure-web-pubsub-express，一个数据收集模块

mos-sass-loader 和 css-resources-loader，提供 RCE 功能

尽管 NPM 确实通过了其数据库并删除了恶意程序包，但无法确定它们存在多长时间以及有多少人下载了它们并可能将它们丢弃在他们的应用程序中。试图滥用像 NPM 这样大且受欢迎的平台，可以让威胁参与者利用强大的上游实体发起供应链攻击。