开发社区正面临 npm 生态系统中的新威胁。已检测到四个恶意软件包正在分发信息窃取恶意软件以及 DDoS 幽灵机器人 (Phantom Bot)。一旦安装,这些组件会通过提取凭证、密钥和敏感数据来危及系统安全,同时还会将设备招募用于分布式拒绝服务攻击。这些攻击的复杂性凸显了在将每个依赖项集成到软件项目之前对其进行验证的必要性。
npm 中 Phantom Bot 恶意软件的技术分析 🛡️
受感染的软件包采用混淆技术来逃避初始检测。执行时,它们会部署一个加载程序,下载并安装 Phantom Bot,这是一种模块化恶意软件,能够窃取浏览器中存储的 cookie、密码以及加密货币钱包文件。同时,该机器人会连接到一个命令与控制服务器以接收指令并参与 DDoS 攻击。持久性是通过修改 Windows 注册表或 Unix 系统中的启动脚本来实现的。研究人员建议审计 package-lock.json 文件,并使用 npm audit 等工具来识别可疑依赖项。
npm 的新爱好:每次安装都附赠 DDoS 机器人 🤖
因为当然,安装一个用于格式化日期的库已经不够了:现在你还可以在不知情的情况下将你的电脑变成 DDoS 大军的一名士兵。这些恶意软件包相当于数字版的“那个请你吃饭然后让你帮忙搬家的朋友”。一向信任他人的开发者社区,现在必须像审查电话合同一样审查每个软件包。当然,如果你的项目开始变慢,风扇响得像闹钟,那可能不是夏天的炎热:你有了一个不受欢迎的新房客。