摘要:安全研究人员最近识别出两个 npm 软件包,其行为远超表面声明。它们伪装成系统监控与数据同步工具,实则暗藏破坏性后门,一旦触发,可远程擦除开发者整个应用的所有文件。
恶意软件
安全研究人员最近识别出两个 npm 软件包,其行为远超表面声明。它们伪装成系统监控与数据同步工具,实则暗藏破坏性后门,一旦触发,可远程擦除开发者整个应用的所有文件。
这一攻击过程完全静默,无日志、无控制台输出,并且由于使用了空的错误处理逻辑,即使路由注册失败也不会有任何提示。绝大多数开发者在系统被彻底破坏之前可能毫无察觉。
相比之下,的破坏力更强。它构建得更像一个真正的系统监控工具,拥有完整的健康检查机制、SMTP 邮件功能,甚至支持 Express、Fastify 和原生 HTTP 服务。但在背后,它会收集服务器信息(包括主机名、IP、进程ID和环境摘要),并通过电子邮件发送至一个硬编码地址:anupm019@gmailcom。与此同时,它还会记录后端 URL 地址,帮助攻击者绘制服务器架构图。该包还实现了跨平台的文件删除能力:对于 Unix 系统执行rm -rf *,对于 Windows 系统则执行rd /s /q .,这一命令不仅删除文件,还会清空当前目录。更令人担忧的是,该后门可通过两个 POST 接口(/_/system/health与/_/sys/maintenance)远程触发,均需配合密钥 “HelloWorld”。表面上这些配置是可自定义的,但默认值保证了攻击者即使开发者未作任何修改也能顺利控制。邮件服务同时作为远程指令通道:SMTP 凭证虽然被 Base64 编码隐藏在程序中,但极易解码。一旦系统启动,恶意包会尝试连接邮件服务器,验证攻击者控制通道是否在线。
攻击流程在后台悄然展开:首先是通过 GET 请求侦察接口返回系统信息;随后可选进行“试运行”,以测试目标是否可控;紧接着是破坏性执行,即 POST 请求加密钥触发全盘删除;最后将详细的服务器指纹信息和后端路径通过邮件发回攻击者。该恶意包甚至会根据密钥是否正确返回不同提示,协助攻击者确认是否成功控制目标。不同于传统的供应链攻击通常以数据窃取或挖矿为目标,这两个 npm 包更倾向于彻底破坏,说明攻击者的动机从经济利益转向破坏系统、收集基础设施情报、甚至可能用于行业破坏或地缘竞争行为。他们构建的工具可以长时间潜伏,静默收集信息,在毫无预警的情况下发起攻击。
中间件机制的使用进一步加剧了风险。中间件代码在每次请求中都会运行,通常拥有应用内部的全部访问权限。这些恶意包正是利用这一点,悄然嵌入具备完全摧毁能力的路由,极具欺骗性。
Saviynt 公司首席信任官 Jim Routh 就此发表评论称:“这是一起典型的软件供应链攻击,攻击者精心设计伪装,将恶意后门嵌入看似正常的工具中。一旦这些代码被嵌入企业系统,恶意功能即可远程激活。企业应优先提升对软件构建流程的身份访问管理,包括对所有员工与承包方的权限控制。”
安全专家建议,开发与运维团队应立即检查所使用的第三方依赖包,采用具备行为检测功能的扫描工具识别潜在风险,而不仅仅依赖于静态代码分析。传统的安全扫描工具可能无法捕捉这些运行时行为威胁。
网罗圈内热点 专注网络安全
支持「安全圈」就点个三连吧!
来源:小茵说科技
