最新發現，安全研究人員在NPM索引中發現了60個試圖收集主機敏感數據并將其發送到由威脅者控制的Discord webhook的軟件包。

根據Socket威脅研究團隊的說法，這些軟件包從5月12日開始從三個發布者賬戶上傳到NPM存儲庫。

每個惡意包都包含一個安裝后腳本，在‘ npm install ’期間自動執行，并收集以下信息：

·主機名

·內部IP地址

·用戶主目錄

·當前工作目錄

·用戶名

·系統DNS服務器

該腳本檢查與云提供商相關的主機名，反向DNS字符串，試圖確定它是否在分析環境中運行。

Socket沒有觀察到第二階段有效負載的交付、特權升級或任何持久機制。然而，鑒于所收集的數據類型，針對性網絡攻擊的危險是顯著的。

NPM 上仍有可用的軟件包

研究人員報告了這些惡意軟件包，根據調查，它們在NPM上仍然可用，并且顯示累計下載計數為3000。但不久后，存儲庫中沒有一個是存在的。

為了誘騙開發人員使用它們，惡意分子使用了與索引中合法包相似的名稱，如“flipper-plugins”、“react-xterm2”和“hermes-inspector- msgen”，這些通用的信任喚起名稱，以及其他暗示測試的名稱，可能針對CI/CD管道。

如果用戶已經安裝了它們中的任何一個，建議立即刪除它們并執行完整的系統掃描以消除任何感染殘余。

NPM上的數據擦除工具

Socket本周在NPM上發現的另一個惡意活動涉及8個惡意軟件包，它們通過輸入錯誤模仿合法工具，但可以刪除文件、破壞數據和關閉系統。

這些包主要針對React、Vue.js、Vite、Node.js和Quill生態系統，在過去兩年里一直存在于NPM上，獲得了6200次下載。

避免這種情況在很大程度上是由于載荷是根據硬編碼的系統日期激活的，并且它們被設計成逐步破壞框架文件、損壞核心JavaScript方法和破壞瀏覽器存儲機制。

腳本用于2023年6月19日至30日刪除vue .js相關文件

惡意分子在發布這些惡意軟件時還列出了幾個合法的軟件包，以建立信任并逃避檢測。盡管根據硬編碼的日期，雖然危險已經過去了，但刪除這些軟件包同樣至關重要，因為它們的作者可能會引入更新，這些更新將在未來重新觸發它們的擦除功能。

參考及來源：https://www.bleepingcomputer.com/news/security/dozens-of-malicious-packages-on-npm-collect-host-and-network-data/