レポートソース:OSCSオープンソースセキュリティコミュニティ
更新日:2022-07-04
イベントの簡単な説明
NPMは、サードパーティのNode.jsパッケージの検索、ダウンロード、インストール、アンインストールなどの機能を提供するNode.jsパッケージ管理ツールです。
2022年7月4日、OSCSは、btwiuseがbtwiuseとk0sの悪意のあるコンポーネントパッケージを公式のNPMウェアハウスにアップロードしたことを監視し、発見しました。悪意のあるコンポーネントパッケージを使用した後、k0sという名前のリモートコントロールトロイの木馬がユーザーのコンピューターにロードされます。有害严重です。OSCSは、開発者ウォッチャーの大多数に思い出させます。
詳細な分析
k0sコンポーネントを例にとると、そのディレクトリ構造は次のとおりです。
index.js
package.json
コンポーネントが導入された後、リモートコントロールトロイの木馬プログラムが実行され、危険なコードがpackage.jsonファイルとindex.jsファイルに存在します。
悪意のあるコードは次のとおりです。
コードトレーサビリティ後、以下のアドレスのリモートコントロールサービスがインストールされることがわかります
https://github.com/btwiuse/k0s.git/
そのリモートコントロールサーバーのアドレスは次のとおりです
https://k0s.io/
OSCSオープンソースセキュリティコミュニティは、ハッカーによる攻撃を回避するために、ユーザーが資産の自己検査と防止を適切に行うことを推奨しています。
廃棄アドバイス
OSCSオープンソースセキュリティコミュニティは、次の方法でトラブルシューティングすることをユーザーに推奨しています。
1.npmlsまたはnpmls-gコマンドを使用して、悪意のあるコンポーネントがインストールされているかどうかを確認します
2.プロジェクトpackage.jsonが悪意のあるコンポーネントを参照しているかどうかを確認します
詳細については、以下を参照してください。
https://www.oscs1024.com/hd/MPS-2022-41934/
タイムライン
7月1日、攻撃者はk0sの悪意のあるパッケージをアップロードしました
7月3日、攻撃者はbtwiuseの悪意のあるパッケージをアップロードしました
7月4日、OSCSはこの悪意のあるNPMパッケージのポイズニング動作を検出し、既存のサーバーは攻撃者によって制御されました