文|腾讯洋葱反入侵系统
七夜、xnianq、柯南
近日,腾讯洋葱反入侵系统检测发现 NPM官方仓库被上传了radar-cms 恶意包,并通知官方仓库下架处理。由于国内开源镜像站均同步于NPM官方仓库,所以该问题不仅会通过官方仓库,还可能通过各个开源镜像站影响广大用户。
腾讯安全应急响应中心(TSRC)秉承共建安全生态的原则,在此建议各开源镜像站以及对开源镜像站有依赖的组织和公司,请尽快自查处理,确保恶意库得到清除,保障用户安全。
0x01 事件描述
12月23号 03:32 攻击者在NPM官方仓库上传了radar-cms 恶意包(https://www.npmjs.com/package/radar-cms),包代码和主页完全复制TypeChain 正常包,有可能是为了绕过信誉检查,目前已下载40余次。
0x02 手法分析
radar-cms包 恶意功能触发方式相对常见,在package.json 中的postinstall字段添加了一段恶意命令,功能是在安装radar-cms包时,