该项目的开发者是JohnHarband,开发者收到自称是NPMJS的邮件并通知要求对账户进行验证,而点击链接后跳转的钓鱼网站,开发者提供账户信息后黑客可以直接登录开发者的账号。
随后黑客修改版本并添加后门程序,分析发现这个后门程序会打开基于WebSocket的后门从而实现远程代码执行,受影响的主要是isv3.3.1~5.0.0版,恶意软件包发布后持续6个小时后被NPM删除。
在这次攻击中还有其他项目包括eslint-config-prettier、synckit、@pkgr/core、napi-postinstall、got-fetch,这些被感染的项目都携带类似的后门程序,也就是中招的开发者并不少。
研究人员还发现名为Scavanger的信息窃取程序,该程序只要适用于WindowsNT,可以从浏览器中窃取敏感信息,或许这个信息窃取程序是为了窃取存储在浏览器中的加密货币钱包信息。
使用以上项目的开发者应当检查自己使用的版本,如果不慎使用携带后门程序的版本则应该尽快进行更新,将其替换为清理后的版本,以及发布公告提醒最终用户注意安全。
相关文章
头条焦点
精彩导读
关注我们
【查看完整讨论话题】 | 【用户登录】 | 【用户注册】