npm倉庫被滲透，可利用Chrome的賬戶(hù)恢復工具竊取

在一場(chǎng)大規模的軟件供應鏈攻擊中，一名密碼竊取者被發(fā)現通過(guò) ChromePass 從 Windows 系統上的 Chrome 竊取憑據。

ChromePass 是一款適用于 Windows 的小型密碼恢復工具，可用于查看 Chrome 瀏覽器存儲的用戶(hù)名和密碼。對于每項密碼條目，將顯示以下信息：源 URL、操作 URL、用戶(hù)名字段、密碼字段、用戶(hù)名、密碼和創(chuàng )建時(shí)間。它允許使用者從當前運行的系統或存儲在外部驅動(dòng)器上的用戶(hù)配置文件中獲取密碼。

研究人員發(fā)現，在 npm 的開(kāi)源代碼倉庫中存在一個(gè)使用合法密碼恢復工具的憑據竊取代碼炸彈，它潛伏在倉庫中，以伺機植入到從該源提取代碼的龐大應用程序中。

研究人員發(fā)現被滲透的 npm 倉庫會(huì )被植入惡意軟件，該惡意軟件會(huì )從 Windows 系統上的 Chrome 瀏覽器中竊取憑據。該密碼竊取器具有多種功能：監聽(tīng)來(lái)自攻擊者的命令和控制 (C2) 服務(wù)器的傳入命令，并能上傳文件，從受害者的屏幕和攝像頭中進(jìn)行記錄，以及執行 shell 命令。

據介紹，主要威脅來(lái)自 nodejs_net_server 和 temptesttempfile 這兩個(gè)軟件包。通過(guò)靜態(tài)分析，研究人員在 nodejs_net_server 包的多個(gè)版本中發(fā)現了 Win32.Infostealer.Heuristics 文件。它的元數據顯示該文件的原始名稱(chēng)是"a.exe"，位于 "lib" 文件夾內。研究人員指出，帶有類(lèi)似擴展名的單字母文件名會(huì )向威脅獵人發(fā)出危險信號。原來(lái)，a.exe 正是是上文提到的 ChromePass：一種用于恢復存儲在 Chrome 瀏覽器中的密碼的合法工具。

nodejs_net_server 軟件包的作者并不是一開(kāi)始就在里面植入了竊取密碼的程序，研究人員發(fā)現，作者通過(guò) 12 個(gè)版本增強了 nodejs_net_server 軟件包，直到去年 12 月使用腳本對其進(jìn)行升級，以植入密碼竊取程序。

研究人員于 7 月 2 日聯(lián)系了 npm 安全團隊，告知他們其倉庫存在安全威脅的軟件包。不過(guò)直到這些軟件包才被刪除。

最后，作為 Web 開(kāi)發(fā)者，你對于使用 npm 軟件包有什么建議?還是堅持只使用自己編寫(xiě)的代碼，不引入任何第三方包?

本文轉自OSCHINA

本文標題：npm 倉庫被滲透，可利用 Chrome 的賬戶(hù)恢復工具竊取密碼

本文地址：https://www.oschina.net/news/152135/npm-package-steals-chrome-passwords