报告来源:OSCS开源安全社区
更新日期:2022-07-04
事件简述
NPM 是 Node.js 包管理工具,提供了对第三方 Node.js 包的查找、下载、安装、卸载等功能。
2022 年 07 月 04 日,OSCS 监测发现 NPM 官方仓库被 btwiuse 上传了 btwiuse、k0s 恶意组件包,使用恶意组件包后会在用户电脑上加载名为 k0s 的远控木马,危害较为严重,OSCS 提醒广大开发者关注。
详细分析
以 k0s 组件为例,其目录结构如下:
index.js
package.json
引入该组件后会执行远控木马程序,危险代码存在于 package.json 与 index.js 文件中。
恶意代码如下:
进行代码溯源可发现会安装如下地址的远程控制服务
https://github.com/btwiuse/k0s.git/
其远控服务端地址如下
https://k0s.io/
OSCS 开源安全社区建议广大用户做好资产自查以及预防工作,以免遭受黑客攻击。
处置建议
OSCS 开源安全社区建议用户通过以下方式排查:
1、使用npm ls或npm ls -g命令查看是否安装恶意组件
2、排查项目 package.json 是否引用恶意组件
具体可参考:
https://www.oscs1024.com/hd/MPS-2022-41934/
时间线
7月1日,攻击者上传了 k0s 的恶意包
7月3日,攻击者上传了 btwiuse 的恶意包
7月4日,OSCS 监测到本次恶意 NPM 包投毒行为,已有服务器被攻击者控制