Socket 研究人员最近的一份报告揭示了一个令人担忧的供应链攻击,该攻击通过错别字抢注针对流行的 Node.js 库 chokidar 和 chalk。名为 “davn118 ”的攻击者创建了这些可信工具的恶意克隆,并嵌入了破坏性逻辑和数据渗入程序,以破坏开发人员的项目。
Chokidar 和 chalk 是重要的 Node.js 库:
- Chokidar 是一个文件监视库,每周下载量达 5600 万次。
- Chalk 用于终端字符串样式设计,每周下载量超过 2.65 亿次。
然而,名为 cschokidar-next 和 achalk-next 的恶意软件包打着 “最小、高效 ”替代品的幌子,隐藏着破坏性功能。报告称:“攻击者复制了每个库的全部合法代码,然后在底部添加破坏性和渗入逻辑。值得注意的是,每个假软件包都重复使用了与正版库相似的 README。”
木马库的工作原理
- 使用 “thanks() ”销毁文件: 两种克隆都使用名为 thanks() 的递归文件删除函数。对于 Chokidar 变种,该函数根据特定的环境条件触发。当 NODE_ENV 变量不等于 “development ”时,脚本会删除 .git、.vscode、src 和 node_modules 等关键目录。“脚本不仅会删除 .vscode 和 .package.json,如果密钥无效,还会删除更多文件夹:./library、./mock、./public 等。
- 白垩克隆中的数据渗透: 与 chokidar 不同,白垩克隆会窃取 VUE_APP_SECRET_KEY 和 VUE_GITHUB_USER_NAME 等环境变量,并将其发送到远程服务器(yc.cnzzsoft[.]com)。“如果服务器响应data.code == 202,代码就会在./.git和./node_modules等目录上调用thanks(),从而有效地让攻击者决定是否核爆你的项目。”
合法的库在开发管道中被广泛使用,这使得它们的克隆成为一种强大的威胁。Socket 强调说:“通过劫持 chokidar 和 chalk,攻击者 davn118 将值得信赖的开发工具变成了特洛伊木马,只要环境变量稍有不匹配,就会清除你的系统或窃取你的机密。”
有关详细见解,请访问 Socket 的官方报告。保持积极主动,确保您的依赖关系安全!
1.本站内容仅供参考,不作为任何法律依据。用户在使用本站内容时,应自行判断其真实性、准确性和完整性,并承担相应风险。
2.本站部分内容来源于互联网,仅用于交流学习研究知识,若侵犯了您的合法权益,请及时邮件或站内私信与本站联系,我们将尽快予以处理。
3.本文采用知识共享 署名4.0国际许可协议 [BY-NC-SA] 进行授权
4.根据《计算机软件保护条例》第十七条规定“为了学习和研究软件内含的设计思想和原理,通过安装、显示、传输或者存储软件等方式使用软件的,可以不经软件著作权人许可,不向其支付报酬。”您需知晓本站所有内容资源均来源于网络,仅供用户交流学习与研究使用,版权归属原版权方所有,版权争议与本站无关,用户本人下载后不能用作商业或非法用途,需在24个小时之内从您的电脑中彻底删除上述内容,否则后果均由用户承担责任;如果您访问和下载此文件,表示您同意只将此文件用于参考、学习而非其他用途,否则一切后果请您自行承担,如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。
5.本站是非经营性个人站点,所有软件信息均来自网络,所有资源仅供学习参考研究目的,并不贩卖软件,不存在任何商业目的及用途
暂无评论内容