据报道,在npm JavaScript软件包索引中发现了两个恶意软件包,它们伪装成实用工具,但实际上是破坏性的数据擦除程序,能删除整个应用程序目录。这些数据擦除包名为’express-api-sync’和’system-health-sync-api’,表面上是数据库同步和系统健康监控工具,但实际上包含后门,允许远程数据擦除操作。
根据开源软件安全公司Socket的调查,这些软件包于2025年5月发布在npm上,后因被Socket报告而被移除。历史数据显示,’express-api-sync’被下载了855次,而’system-health-sync-api’被下载了104次。
‘express-api-sync’注册了一个隐藏的POST端点(/api/this/that),等待包含密钥’DEFAULT_123’的请求,一旦收到请求,就会在应用程序目录中执行“rm -rf *”命令,删除所有文件。
另一个软件包’system-health-sync-api’更为复杂,注册了多个后门端点,并使用密钥’HelloWorld’触发侦察和远程操作系统特定的销毁。该擦除程序支持Linux和Windows删除命令,能够在多平台上进行销毁。
这些恶意软件包的出现引起了对npm威胁态势的关注,可能预示着国家级或破坏活动逐渐渗透进开源社区。