NPM恶意包分发TurkoRAT木马的威胁

关键要点

三个伪装成NodeJS库的恶意NPM包在过去两个月内累计下载超过1200次。其中一个名为“nodejsencryptagent”的包包含与合法NodeJS应用类似的“libexe”可执行文件，实际上却在执行TurkoRAT木马。TurkoRAT是一种可定制的窃取软件，能够窃取登录凭据和加密钱包，并能规避调试器和沙箱环境。此外，另一个名为“nodejscookieproxyagent”的包利用其依赖包“axiosproxy”让恶意代码更难被发现。

根据BleepingComputer的报道，近期发现有三个恶意的NPM包，这些包模仿NodeJS库，在过去两个月的时间里已经累计下载超过1200次，它们通过这些包分发了TurkoRAT信息窃取木马。ReversingLabs的研究人员发现，其中一个名为“nodejsencryptagent”的包中包含一个与合法NodeJS应用相似的“libexe”可执行文件，但实际上它在运行TurkoRAT木马。这种可定制的窃取软件能够攻击登录凭据和加密钱包，同时能够有效地躲避调试器和沙箱环境。

小火箭安卓版下载

同样，另一个名为“nodejscookieproxyagent”的包也部署了TurkoRAT，该包的依赖“axiosproxy”中也包含了可执行文件，以便更好地规避检测。研究人员表示：“这一次，攻击者伪装成依赖项axiosproxy，且在nodejscookieproxyagent版本110、120、121和122的每个文件中都被引入。”尽管在检测到后这些包已被移除，但研究人员补充称，它们在NPM上的长期存在表明，开源包对软件供应链的风险提升。

总结：NPM上的这些恶意包暴露了开源生态系统的安全隐患，提醒开发者在使用第三方库时需格外小心，并定期检查其依赖包的安全性。