在 Node-IPC 包的三个版本中发现了一种窃密型后门,专门针对开发者以窃取机密信息。1.0.0、1.0.1 和 1.0.2 版本包含恶意代码,能够提取 API 密钥、访问令牌和环境变量。该恶意软件静默运行,将数据发送至远程服务器。此次事件暴露了软件供应链中的脆弱性。
恶意代码的技术分析 🔍
恶意代码在安装包时被激活,执行一个收集受感染系统信息的脚本。它利用 Node.js 函数读取环境变量和配置文件,将数据过滤到远程端点。攻击者将窃密程序设计得隐蔽,不会在日志中留下明显痕迹。安全社区建议审计依赖项并使用静态分析工具来检测 npm 生态系统中类似的威胁。
没人想要的项目惊喜礼物 🎁
当然,每个开发者需要的都是一个除了管理 IPC 进程外,还决定充当间谍并顺手带走你的令牌作为纪念的包。Node-IPC 现在提供高级功能:安装后免费窃取你的凭证。如果你想体验黑客电影的感觉,你已经做到了。好消息是,至少这个包没有删除硬盘,所以我们可以称之为一份适度的礼物。