恶意 npm 包针对 Windows、Linux、macOS 植入信息窃取器

最近，npm 注册表中出现了10 个模仿合法软件项目的恶意软件包。他们下载信息窃取组件来从Windows、Linux 和macOS 系统收集敏感数据。

这些恶意包于7月4日上传至npm平台，利用多层混淆技术规避标准静态分析机制，长期未被检测到。据网络安全公司Socket的研究人员称，这10个恶意软件包已被下载近万次，能够窃取系统密钥环、浏览器和身份验证服务中的凭据信息。

截至本文撰写时，虽然Socket 已将情况报告给npm 平台，但仍然存在以下恶意包：

1. 打字稿

2.deezcord.js

3. 迪兹科尔德斯

4. dezcord.js

5.etherdjs

6. 以太坊

7.etetsjs

8.nodemonjs

9. 反应路由器dom.js

10.zustand.js

Socket研究人员表示，这些恶意软件包通过虚假验证码验证，伪装成合法程序，然后下载与PyInstaller打包的24MB信息窃取程序。

为了诱骗用户下载，攻击者使用“误植”方法——，使用许多知名软件名称的拼写错误或变体来命名恶意软件包。涉及的合法软件包括TypeScript（JavaScript的类型化超集）、discord.js（Discord机器人开发库）、ethers.js（以太坊JavaScript开发库）、nodemon（Node应用程序自动重启工具）、react-router-dom（React浏览器路由工具）和zustand（轻量级React状态管理工具）。

当开发者在npm平台上搜索这些合法包时，可能会因为拼写错误或者直接在搜索结果中选择恶意包而被抓到。恶意包安装后，会自动触发“postinstall”脚本，生成与主机检测到的操作系统相匹配的新终端。该脚本在可见安装日志之外执行“app.js”文件，并立即清除窗口以避免检测。

“app.js”文件是一个恶意软件加载程序，使用四层混淆技术：自解码评估包装器、使用动态生成的密钥进行异或解密、URL 编码的有效负载以及深度控制流混淆。

该脚本会通过ASCII码在终端上显示虚假的验证码，给安装过程造成合法的假象。

假ASCII验证码步骤

然后，它将受害者的地理位置和系统指纹信息发送到攻击者的命令和控制(C2) 服务器。获得此信息后，恶意软件会从外部源下载并自动启动特定于平台的二进制文件，该二进制文件是与PyInstaller 打包在一起的24MB 可执行文件。

该信息窃取程序的攻击目标包括各种系统密钥环（例如Windows Credential Manager、macOS Keychain、Linux SecretService、libsecret 和KWallet），以及存储在基于Chromium 的浏览器和Firefox 浏览器中的数据（包括用户配置文件、保存的密码和会话cookie）。

此外，它还会在公共目录中搜索SSH 密钥，并尝试查找和窃取OAuth 令牌、JWT 令牌和其他API 令牌。

窃取到的信息会被打包成压缩文件，首先暂时存放在/var/tmp或/usr/tmp目录下，然后窃取到攻击者的服务器（IP地址：195[.]133[.]79[.]43）。

建议下载了上述任何恶意软件包的开发人员立即清理受感染的文件并轮换所有访问令牌和密码，因为这些凭据很可能已被泄露。

从npm 或其他开源索引获取包时，建议仔细检查名称是否存在拼写错误，并确保所有包都来自可靠的发布者和官方存储库。