Microsoft 的漏洞研究團隊在 npm(Node Package Manager) 存儲庫中發現了一個惡意 JavaScript 程序包,可從 UNIX 系統竊取敏感信息。
該惡意軟體包名為 1337qq-js,於 2019 年 12 月 30 日上傳到 npm 存儲庫中。目前,該惡意軟體包已被 npm 的安全團隊刪除。在此之前,該軟體包至少被下載了 32 次。
根據 npm 安全團隊的分析,該軟體包通過安裝腳本來泄漏敏感信息,並且僅針對 UNIX 系統。
它收集的數據類型包括:
其中,竊取環境變數則被視為重大安全漏洞。npm 團隊建議所有在其項目中下載或使用此 JavaScript 程序包的開發人員從其系統中刪除該程序包,並輪換使用任何 compromised 的憑據。
事實上,這是惡意軟體包第六次被放入 npm 存儲庫索引,此前的五次分別為:
參考消息:ZDNet
[admin
]