开源无国界?vue-cli、node-ipc被投毒事件分析

已于 2022-03-16 19:19:06 修改
阅读量5.7k 收藏
点赞数 1
分类专栏: 软件供应链安全 墨菲安全实验室漏洞预警 文章标签: vue.js 前端 javascript 安全 网络安全
于 2022-03-16 19:14:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/murphysec/article/details/123533179
版权

简述

近日我们监测到 Vue.js 生态中的 vue-cli 包遭遇供应链投毒,而被投毒的 node-ipc 包在 npm 上每周下载量超百万,影响非常广泛。

被投毒的情况如下:

  • vue-cli是Vue.js 开发的标准工具,该工具被广泛应用于vue的快速开发
  • 其依赖的node-ipc是用于本地和远程进程间通信的一个js模块,也用于支持linux,windows,mac等系统中的socket通信。
  • node-ipc包的作者近期在node-ipc的10.1.1-10.1.2版本添加了恶意JS,该JS会修改俄罗斯和白俄罗斯用户的所有文件为❤️,但不到24小时后又删除该恶意JS,添加会在用户桌面创建反战宣传标语的peacenotwar模块。vuejs的团队在发现node-ipc添加了peacenotwar模块后锁定了vue-cli依赖的node-ipc版本为9.2.1,研究人员随后又发现node-ipc的作者此前添加的恶意JS存在于node-ipc旧版本中。

 (问题组件每周下载量截图)

事件时间线

3月7号

开发者RIAEvangelist在node-ipc包中添加名为ssl-geospec.js的恶意JS文件,将node-ipc的版本号更新为10.1.1

3月8号

删除ssl-geospec.js该文件,版本号更新为10.1.3

3月9号

开发者RIAEvangelist在node-ipc包中添加peacenotwar模块,该模块会在桌面静默添加反战宣传文件

3月15号

有开发者在论坛中反馈构建过程中发现被创建反战标语文件

3月15号

Vue-cli发布5.0.3版本,在新版本中锁定vue-cli依赖的node-ipc版本为9.2.1

研究人员分析发现node-ipc的作者不只添加了反战标语,还在旧版本10.1.1-10.1.2中添加了恶意JS文件删除俄罗斯和白俄罗斯用户文件

3月16号

 vue的开发者sodatea针对此事件的回应如下:

  1. node-ipc 9.2.2 增加peacenotwar模块,该模块会在未经用户同意的情况下写入WITH-LOVE-FROM-AMERICA.txt用户的Desktop和OneDrive文件夹。
  2. vue-cli已经发布了 4.5.16 和 5.0.3 来锁定依赖版本。
  3. 受影响的用户:在2022-03-15T05:40:26.758Z2022-03-15T13:17:57.076Z;期间创建的新项目或者更新了项目依赖的人。
  4. 从俄罗斯和白俄罗斯 IP 删除文件的恶意代码不包含在 9.2.2 版本中

恶意代码分析

我们针对node-ipc包中使用的恶意js文件(node-ipc/ssl-geospec.js at 847047cf7f81ab08352038b2204f0e7633449580 · RIAEvangelist/node-ipc · GitHub)进行分析。

可以看到多处使用base64编码对行为意图进行隐藏

远程API地址解码为

https://api.ipgeolocation.io/ipgeo?apiKey=ae511e1627824a968aaaa758a5309154

 使用https加载远程API

解密后的字符串,可以看出c为国家,e为俄罗斯,i为白俄罗斯,其他为文件路径

判断是否为俄罗斯或白俄罗斯,将结果注册为a

如果是则执行h函数

 h函数递归爬取指定目录,将所传入的路径中的文件替换为base64编码的4p2k77iP,而其解码后为❤️

针对企业的一点建议

  • 开源不等于可信,企业需要针对软件供应链建立动态管理机制,及时发现并响应其中可能的风险。

漏洞检测及修复

关于该漏洞的检测策略已在墨菲安全的所有工具产品中上线,您可以免费安装使用墨菲安全的JetBrains IDE插件、CLI客户端等对你的项目进行检测,并一键修复。

如果你觉得这个工具对你有用,可以star、提issues或者参与贡献,我们会挑选一个参与贡献的用户送出机械键盘一份。

参考链接

https://github.com/vuejs/vue-cli/issues/7054

https://github.com/RIAEvangelist/node-ipc/issues/233

百万周下载量node-ipc包以反战为名进行供应链投毒

作者:wochicheng    日期:2022年3月16日

墨菲安全
关注
专栏目录
博客
墨菲安全入选首批“切面联盟技术合作伙伴计划”
08-14 972
墨菲安全作为安全平行切面联盟成员,凭借“基于切面技术的软件供应链安全”产品特色和创新实践,入选首批“切面联盟技术合作伙伴计划”,成为切面联盟唯一一家在软件供应链安全领域的合作伙伴。
博客
24000字企业开源安全治理最佳实践发布
04-30 723
这篇最佳实践的内容取材于互联网、金融、运营商、智能制造、能源等领域数十家头部企业在过去近三年时间的实践经验总结,在编写这篇最佳实践的2个多月过程中,我又收到将近20家企业的应用安全专家及安全负责人的高质量建议,这其中包括来自小米的piaca、月胜、涂鸦智能的刘龙威、快手的廖师傅及非零解、百度的长林、知乎的维祥及夜明、传化物流的国超、某支付的刘奇及山人、某科技公司的我宝哥及杨哥、京东的斯诺、蚂蚁的小哥等一众大佬的支持,当然还有来自墨菲安全的一众专业和可爱小伙伴们两个多月的付出。1、企业最佳实践的分享。
博客
差点引爆全球的核弹,深度分析XZ-Utils供应链后门投毒事件
04-01 2972
wp:quote处心积虑的投毒者蛰伏三年多,精心选择对象,通过复杂的攻击手法、专业的技战术,一步步支起一张大网,企图掌控全球主流linux发行版,一旦成功他将可以随意侵入全球绝大多数的服务器,这将是足以引爆全球的核弹危机。所幸由于复杂度过高以及投毒者的疏忽,事件被及早发现,没有造成过大的现实危害。但此次事件再次凸显出开源软件生态的脆弱性,本次事件仍可能只是冰山下的一角。墨菲安全也提醒所有企业不应该默认相信来自开源社区的软件,应该加强企业自身的供应链安全体系建设,才能当危机来临时应对自如。/wp:quote。
博客
剖析美国政府视角下的ICT供应链安全
03-25 1104
2018 年 11 月 15 日,美国国土安全部(DHS)宣布成立了信息和通信技术 (ICT) 供应链风险管理(SCRM)工作组,这个工作组是由美国多个政府部门、IT行业企业代表及通信行业企业代表联合成立的。该组织对外宣传的目标是识别和管理全球 ICT 供应链的风险。之后该组织非常活跃,2024 年 2 月 6 日,该组织刚刚宣布将工作组延长两年。
博客
墨菲安全在软件供应链安全领域阶段性总结及思考
03-20 918
反观,今天企业软件应用的生产过程正在经历这么一个逐渐走向成熟的过程,据权威数据统计目前各行业企业的软件应用大概来自供应链的成分占比超过90%,据工信部数据显示2022年全国软件及信息化相关服务市场规模超过10万亿,到2028年还将翻一番来到20万亿,而当前软件产业链在安全上的投入恐怕连0.1%(100亿)都不到,这里面未来发展的空间非常大。传统的开发安全体系(SDL/DevSecOps)更多的关注的是软件研发过程中的安全管控,但是实际上软件供应链安全要贯穿软件从生产、分发、应用、持续更新等全过程的管理。
博客
企业开展开源安全治理必要性及可行性详细分析
03-18 1402
当新鲜事物产生时,首先我们应该积极的态度去拥抱它,但是它是不是真的值得我们投入(包括当下工作和未来个人技术成长),就需要客观的分析其必要性,同时结合自身情况了解它的可行性。开源安全治理方向是近几年经济下行周期中企业为数不多大家关注的热门方向,也是当前企业面临的主要安全威胁,大量勒索攻击、数据泄露事件究其原因都与此有关,再加上自主可控的大背景需求下,此项需求被催生和释放就理所当然了。但是面对这样一个热门的方向,行业头部企业都在积极投入和规划,我们应该如何客观看待,开源安全治理到底是昙花一现的伪需求?
博客
【高危】Apache Solr 环境变量信息泄漏漏洞
01-17 989
Apache Solr 是一款开源的搜索引擎。在 Apache Solr 受影响版本中,由于 Solr Metrics API 默认输出所有未单独配置保护策略的环境变量。在默认无认证或具有 metrics-read 权限的情况下,攻击者可以通过向 /solr/admin/metrics 端点发送恶意请求,从而获取到运行 Solr 实例的主机上的所有系统环境变量,包括敏感信息的配置、密钥等。
博客
【中危】IoTDB 存在远程代码执行漏洞
01-17 523
Apache IoTDB是时序数据的数据管理系统,为用户提供数据采集、存储、分析等特定服务。JEXL是一个表达式语言引擎,全称是Java表达式语言(Java Expression Language),可以在 java 程序中动态地运算一些表达式在受影响版本中,由于IoTDB通过UDTFJexl.java实现 JEXL 表达式支持。攻击者可以通过配置 UDF,调用 JEXL表达式来执行 JAVA命令,导致存在远程代码执行漏洞。
博客
【高危】Google Chrome V8 < 120.0.6099.224 越界内存访问漏洞
01-17 1015
Google Chrome V8 是一个由Google开发的开源JavaScript引擎,用于Google Chrome及Chromium中。Google Chrome 120.0.6099.224版本之前中,当通过runtime-object.cc的DeleteObjectPropertyFast删除对象属性时,可能未能正确处理内存或属性映射,导致越界内存访问漏洞。攻击者可以通过诱导用户访问恶意链接并利用此漏洞进行内存读取或写入,从而可能导致代码执行。漏洞已被Google发现在野利用。
博客
【严重】Atlassian Confluence 模板注入代码执行漏洞
01-17 537
Confluence 是由Atlassian公司开发的企业协作和文档管理工具。Atlassian Confluence Data Center/Server 受影响版本中存在模版注入漏洞,攻击者通过构造恶意请求,可以在未登录的情况下在Confluence实例上触发远程代码执行漏洞。漏洞已在8.5.4版本中修复,可能与velocity引擎中对snakeyaml、antlr等组件的支持有关。
博客
【低危】OpenSSL 拒绝服务漏洞
01-17 1284
OpenSSL 是广泛使用的开源加密库。在 OpenSSL 3.0.0 到 3.0.12, 3.1.0 到 3.1.4 和 3.2.0 中 ,使用函数 EVP_PKEY_public_check() 来检查 RSA 公钥的应用程序可能会遇到长时间延迟。如果检查的密钥是从不可信任的来源获取的,这可能会导致拒绝服务。其他 OpenSSL 函数不会调用 EVP_PKEY_public_check()函数,但会在 OpenSSL pkey 命令行应用程序中调用。
博客
【严重】GitLab 以其他用户身份执行 Slack 命令
01-15 660
GitLab 是由GitLab公司开发的、基于Git的集成软件开发平台。使用 Slack 命令在 Slack 聊天环境中运行常见的 GitLab 操作。GitLab 受影响版本中,由于配置Slack/Mattermost 集成时,未正确验证用户身份信息,导致攻击者可以使用其他用户身份执行 Slack 命令。2024/1/12。
博客
【高危】Apache Solr 环境变量信息泄漏漏洞
01-15 879
Apache Solr 是一款开源的搜索引擎。在 Apache Solr 受影响版本中,由于 Solr Metrics API 默认输出所有未单独配置保护策略的环境变量。在默认无认证或具有 metrics-read 权限的情况下,攻击者可以通过向 /solr/admin/metrics 端点发送恶意请求,从而获取到运行 Solr 实例的主机上的所有系统环境变量,包括敏感信息的配置、密钥等。
博客
【严重】GitLab 账号接管漏洞
01-15 817
GitLab 是由GitLab公司开发的、基于Git的集成软件开发平台。GitLab CE/EE中支持用户通过辅助电子邮件地址重置密码,默认情况允许通过未经确认电子邮件重置密码。攻击者可以利用此漏洞将用户帐户密码重置电子邮件发送任意未经验证的电子邮件地址,导致用户帐户被接管。GitLab 账号接管漏洞。
博客
《网络弹性法案》协议达成,欧盟立法进一步临近实施
12-08 658
一封由 Google、电子前沿基金会、CyberPeace Institute、ESET、Rapid7、Bugcrowd 和 Trend Micro 等多个组织代表签署的公开信声称,关于漏洞披露的规定适得其反,将制造新的威胁,破坏数字产品及其使用者的安全。墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司,能力包括代码安全检测、开源组件许可证合规管理、云原生容器安全检测、软件成分分析(SCA)等,丰富的安全工具助您打造完备的软件开发安全能力(DevSecOps)。
博客
libcurl Socks5 堆缓冲区溢出漏洞(CVE-2023-38545)详细分析
10-25 804
curl 是用于在各种网络协议之间传输数据的命令行工具,libcurl 用于提供处理网络通信和数据传输的 Api 接口。curl 默认下载缓冲区为 102400 字节,但如果设置低于每秒 102400 字节,缓冲区大小会自动设置为更小的值。libcurl 下载缓冲区默认为 16KB,应用程序可通过 CURLOPT_BUFFERSIZE 选项设置其大小。
博客
CVE-2023-5129 libwebp堆缓冲区溢出漏洞影响分析
09-28 1706
近日苹果、谷歌、Mozilla和微软等公司积极修复了libwebp组件中的缓冲区溢出漏洞,相关时间线如下:9月7日,苹果发布紧急更新,修复了此前由多伦多大学公民实验室报告的iMessage 0-click 漏洞,漏洞被认为已经被NSO公司的Pegasus间谍软件所利用,漏洞编号CVE-2023-41064;9月8日,libwebp 开发者提交 commit 修复了由于越界写入导致的堆缓冲区溢出漏洞;
博客
近期大型攻防演练观感及未来攻防趋势判断
08-21 312
此外,对于攻击方来说,整理和收集这些开源组件通用漏洞的POC/EXP,相对来说成本很低,而且很多都已经整理成现成的攻击工具了,像今年国产的低代码开源项目Jeecg-boot出了好几个0day(老惨了),这类系统漏洞很多,并且相对来说获取成本比较低,而国内又确实有不少关基的客户在用,打起来性价比还是相当不错的,此外就是一些针对python及npm的投毒,这些攻击起来门槛比较低,说不定有意外的收获。最后,因为这些市场覆盖率高的产品,大部分关基行业的客户都会用,而且拿这些产品的0day打进去,不容易被拦截。
博客
中路对线发现正在攻防演练中投毒的红队大佬
08-18 703
​2023年8月14日晚,墨菲安全实验室发布《首起针对国内金融企业的开源组件投毒攻击事件》NPM投毒事件分析文章,紧接着我们在8月17日监控到一个新的npm投毒组件包 hreport-preview,该投毒组件用来下载木马文件的域名地址竟然是 img.murphysec-nb.love(如下图1),且该域名注册时间就是8月14号,投毒者使用的注册邮箱同样是hotmail临时注册的邮箱,很显然大概是上次被我们公开投毒行为的攻击者正在火速赶往中路与我们对线,大哥,速度要不要这么快 -_-!
博客
【高危】 jeecg-boot/积木报表基于H2驱动的任意代码执行漏洞
08-17 1124
墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司,核心团队来自百度、华为、乌云等企业,公司为客户提供完整的软件供应链安全管理平台,围绕SBOM提供软件全生命周期的安全管理,平台能力包括软件成分分析、源安全管理、容器镜像检测、漏洞情报预警及商业软件供应链准入评估等多个产品。产品可以极低成本的和现有开发流程中的各种工具一键打通,包括 IDE、Gitlab、Bitbucket、Jenkins、Harbor、Nexus 等数十种工具无缝集成。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值