關鍵詞

惡意軟件

惡意 npm 軟件包模仿 Telegram Bot API 在 Linux 系統上植入 SSH 后門網絡安全研究人員在 npm 注冊表中發現了三個惡意包，它們偽裝成流行的 Telegram 機器人庫，但卻隱藏著 SSH 后門和數據泄露功能。

有問題的軟件包列表如下：

node-telegram-utils（下載量：132）

node-telegram-bots-api（82 次下載）

node-telegram-util（73 次下載）

據供應鏈安全公司 Socket 稱，這些軟件包旨在模仿node-telegram-bot-api，這是一個流行的 Node.js Telegram Bot API，每周下載量超過 10 萬次。這三個庫仍然可以下載。

安全研究員庫什·潘迪亞 (Kush Pandya)表示：“雖然這個數字聽起來不大，但只需要一個被破壞的環境就能為大規模滲透或未經授權的數據訪問鋪平道路。”

“供應鏈安全事件反復表明，即使是少數安裝也可能造成災難性的后果，尤其是當攻擊者直接訪問開發人員系統或生產服務器時。”

這些惡意軟件包不僅復制了合法庫的描述，還利用一種稱為starjacking的技術來提高真實性并誘騙毫無戒心的開發人員下載它們。

Starjacking 是指通過鏈接與合法庫關聯的 GitHub 倉庫，使開源軟件包變得比實際更流行的一種方法。這種方法通常利用了軟件包與 GitHub 倉庫之間不存在的關聯驗證。

Socket 的分析發現，這些軟件包專門設計用于在 Linux 系統上運行，在“~/.ssh/authorized_keys”文件中添加兩個 SSH 密鑰，從而授予攻擊者對主機的持久遠程訪問權限。

該腳本旨在通過聯系“ipinfo[.]io/ip”來收集系統用戶名和外部 IP 地址。它還會向外部服務器（“solana.validator[.]blog”）發出信號以確認感染。

這些軟件包之所以顯得隱蔽，是因為刪除它們并不能完全消除威脅，因為插入的 SSH 密鑰會授予威脅行為者不受限制的遠程訪問權限，以便隨后執行代碼和泄露數據。此次披露之際，Socket 詳細介紹了另一個名為@naderabdi/merchant-advcash的惡意程序包，該程序包旨在向遠程服務器啟動反向 shell，同時偽裝成 Volet（以前稱為 Advcash）集成。

該公司表示： “軟件包@naderabdi/merchant-advcash包含硬編碼邏輯，在調用支付成功處理程序時會打開一個指向遠程服務器的反向shell 。它偽裝成商家接收、驗證和管理加密貨幣或法定貨幣支付的實用程序。”

與許多在安裝或導入期間執行代碼的惡意軟件不同，此有效載荷會延遲到運行時，具體來說是在交易成功之后。這種方法可能有助于逃避檢測，因為惡意代碼僅在特定的運行時條件下運行。

安全圈

網羅圈內熱點 專注網絡安全

實時資訊一手掌握！

好看你就分享 有用就點個贊

支持「安全圈」就點個三連吧！