用每个月的下载量超过300亿次的NPM,窃取密码是一种什什么样的体验!

上网导航 2023-12-03 129 0条评论
摘要: 文章浏览阅读147次。研究人员发现官方NPM库中的软件包可以从Chrome web浏览器窃取保存的密码。NPM 是Node.js的包管理器,共有超过150万个包...

用每个月的下载量超过300亿次的NPM,窃取密码是一种什什么样的体验!

研究人员发现官方NPM库中的软件包可以从Chrome web浏览器窃取保存的密码。

NPM 是Node.js的包管理器,共有超过150万个包,每个月的下载量超过300亿次。研究人员分析发现,NPM中包含不同类型的可执行文件,包括PE、ELF、MachO等。

研究人员分析发现nodejs_net_server包的多个版本中都具有恶意行为。通过这些包的metadata数据分析发现该文件的原始名为a.exe,位于lib文件夹中。研究人员进一步分析发现a.exe是一个ChromePass工具,用来恢复Chrome web浏览器中保存的密码。

用每个月的下载量超过300亿次的NPM,窃取密码是一种什什么样的体验!

图1: ChromePass工具

该工具本身并不是恶意的,但是可以用于恶意目的。比如,该包使用它来执行恶意密码窃取和凭证窃取。虽然该密码恢复工具有图形用户接口,但是恶意软件作者好像更喜欢用命令行工具。

用每个月的下载量超过300亿次的NPM,窃取密码是一种什什么样的体验!

图2: nodejs_net_server NPM包

NPM的 nodejs_net_server包页面表明该包的最新版本为v1.1.2,大约6个月前发布。该包的URL主页指向一个GitHub地址。该包的开发者为chrunlee,是GitHub的活跃开发者,GitHub账号中含有一个web链接:hxxps://chrunlee.cn 。

用每个月的下载量超过300亿次的NPM,窃取密码是一种什什么样的体验!

图3: chrunlee的 github页面

NPM版本历史表明该包一共发布了12个版本,总下载次数为1283次。

表 1: nodejs_net_server版本

用每个月的下载量超过300亿次的NPM,窃取密码是一种什什么样的体验!

有意思的是发布的1.1.1和1.1.2版本中包含了测试ChromePass工具的结果。这些登录凭证信息保存在相同文件夹的a.txt文件中, 因为密码恢复工具名为a.exe。

文本文件中包含2020年3月到2020年12月创建的282个登录凭证信息。图4可以看出恶意软件作者并没有遵循密码的最佳安全实践。

用每个月的下载量超过300亿次的NPM,窃取密码是一种什什么样的体验!

图4: 恶意软件作者从浏览器中恢复的密码

另外,恶意软件作者还通过类似单词(typosquatting)诱使受害者执行恶意包。恶意软件作者使用与主流包类似名的包来诱使用目标安装包。本例中,恶意软件作者使用了不同的方式来滥用npm包的配置选项。

NPM包在package.json 配置文件中的bin 域来PATH路径安装一个或多个可执行文件。包安装后,NPM会将该文件软链到prefix/bin文件夹(全局安装)或./node_modules/.bin/ 文件夹(本地安装)。这些可执行文件可能会被分配给任意名,如果相同名字的模块存在,就会覆写和映射到恶意软件提供的脚本。

NPM下载数据表明该包已经被下载超过3.5万次数。该包在Node.js开发者社区也是非常流行的,在过去7天内下载量超过1000次。该包车位劫持目标的另外一个原因是测试执行时是以命令行形式而非JS文件模块的形式。

包安装和成功劫持后,恶意软件还会通过将 lib/test.js 脚本安装为Windows服务的形式来实现驻留。

用每个月的下载量超过300亿次的NPM,窃取密码是一种什什么样的体验!

图6: 驻留Windows服务安装

该服务会打开一个socket来监听7353端口的命令。支持的命令包括逆向host和端口配置、目录内容监听、文件查询、文件上传、shell命令执行、屏幕和摄像头录制。浏览器密码窃取是通过之前下面的ChromePass 工具的shell命令执行实现的。

用每个月的下载量超过300亿次的NPM,窃取密码是一种什什么样的体验!

该包的主页和GitHub仓库链接目前都指向不存在的web页面。查看恶意软件开发者chrunlee发布的其他NPM包发现了一个同样没有链接的包。该包名为tempdownloadtempfile,只在2019年6月发布过1个版本。其中只包含 package.json 和file/test.js文件。file/test.js文件实现了nodejs_net_server 包中实现的相同的远程shell功能,但该包并不执行劫持也没有驻留机制。

在这里友情提醒!!!

答应我

这种事不能能明目张胆的做,里面的饭不好吃!

这有正当的网安学习途径,白嫖资料

用每个月的下载量超过300亿次的NPM,窃取密码是一种什什么样的体验!

文章版权及转载声明:

作者:上网导航本文地址:https://www.90xe.com/post/6591.html发布于 2023-12-03
文章转载或复制请以超链接形式并注明出处技术导航

分享到:

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏