DEV Community
·
恶意npm包伪装成流行的Express Cookie Parser
💡
原文英文,约1700词,阅读约需6分钟。
📝
内容提要
发现恶意npm包express-cookie-parser伪装成流行的cookie-parser。该包在使用时执行恶意代码,下载并运行startup.js,删除自身并修改index.js以掩盖痕迹。建议受影响用户移除该包并检查系统安全。
🎯
关键要点
- 发现恶意npm包express-cookie-parser伪装成流行的cookie-parser。
- 该包在使用时执行恶意代码,下载并运行startup.js。
- 恶意代码删除自身并修改index.js以掩盖痕迹。
- 建议受影响用户移除该包并检查系统安全。
- 恶意载荷在cookie-loader.min.js中,执行时不依赖安装钩子。
- 恶意代码通过API调用触发,执行阶段1和阶段2的载荷。
- 生成C2服务器域名,下载并执行恶意脚本。
- 使用固定值496AAC7E和种子文件的SHA256哈希生成C2域名。
- 建议受影响用户使用npm remove命令移除该包。
- 对于关键系统,建议视为已被攻陷并启动适当的事件响应流程。
- SafeDep提供的工具可以检测恶意包,防止安装。
- C2服务器域名生成算法使用XOR操作,生成IP地址格式。
❓
延伸问答
恶意npm包express-cookie-parser的主要特征是什么?
该包伪装成流行的cookie-parser,并在使用时执行恶意代码,下载并运行startup.js。
如何移除受影响的恶意npm包?
建议使用npm remove命令移除express-cookie-parser包。
恶意代码是如何执行的?
恶意代码通过API调用触发,执行阶段1和阶段2的载荷,下载并执行startup.js。
如果系统受到影响,应该采取什么措施?
对于关键系统,建议视为已被攻陷并启动适当的事件响应流程。
恶意npm包的载荷存放在哪里?
恶意载荷存放在cookie-loader.min.js中。
SafeDep提供了什么工具来检测恶意包?
SafeDep提供的工具vet可以检测恶意包,防止安装。
🏷️
标签
➡️
