著名NPM包’is’近日被发现遭受供应链攻击,攻击者通过植入后门恶意软件,获得了受影响设备的完全控制权限。据报道,维护者账号首先因钓鱼攻击被盗,随即所有权被未经授权更改,导致多个含有恶意代码的新版本上线数小时才被发现,疑似波及大量开发者。
‘is’是一个在NPM平台上每周下载量高达280万次的JavaScript轻量级工具库,被广泛用作各种开发、测试和构建工具的底层依赖。此次安全事件中,主要维护者John Harband于7月19日宣布,3.3.1至5.0.0版本均被植入恶意软件,已于6小时内从NPM下架。
技术分析显示,恶意‘is’包内含跨平台JavaScript恶意加载器,能通过WebSocket开启后门,实现远程代码执行,并窃取主机系统信息与环境变量。研究人员还发现,其他同期被攻击的NPM包(包括eslint-config-prettier、eslint-plugin-prettier等)也含有针对Windows浏览器敏感信息的‘Scavanger’恶意窃密工具。
专家警告,攻击者或已获取更多NPM维护者凭证,未来不排除有更隐蔽的攻击尝试。各开发者及维护人员被建议立即重置密码、轮换令牌,以防止进一步风险。