这些程序包 img-aws-s3-object-multipart-cope 和 legacyaws-s3-object-multipart-copy 的下载量分别为190次和48次。在本文写作时它们已被 npm 安全团队拿下。

软件供应链安全公司 Phylum 分析指出，“它们包含了隐藏在镜像文件中的复杂命令和控制功能，而这些镜像文件会在包安装过程中执行。”这些包旨在模拟合法npm库 aws-s3-object-multipart-copy，但替换了 “index-js” 文件版本以执行 JavaScript 文件 “loadformat.js”。该JavaScript 文件旨在处理两个镜像（Intel、微软和AMD的企业标识），其中与微软标识对应的镜像用于提取和执行恶意内容。

该代码通过发送主机名和操作系统详情，以C2服务器注册新客户端，之后每隔五秒来执行由攻击者发布的命令。在最后阶段，该命令执行的输出被通过特定端点提取返回给攻击者。

Phylum 公司表示，“在最后几年中，我们看到发布到开源生态系统中的恶意包的复杂度和体量都急剧增长。这些攻击者如果不犯错的话就是成功的。开发人员和组织机构意识到这个问题的存在至关重要，而且应警惕自己所使用的开源库。”

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~