腾讯洋葱入侵检测系统 七夜
腾讯蓝军 & TSRC Silence
腾讯宙斯盾流量安全分析团队 Pav1、余忆
概述
今天,腾讯洋葱入侵检测系统发现开源软件沙箱主机出现异常行为,跟进发现npm官方仓库的coa、rc被投毒攻击,已经在腾讯软件源紧急拦截相关版本。目前npm官方仓库已将相应版本的恶意包删除,但由于国内开源镜像站均同步npm官方仓库且存在缓存,所以恶意包还可能通过各个开源镜像站影响广大用户。
腾讯安全应急响应中心(TSRC)秉承共建安全生态的原则,在此建议大家自查处理,确保安全风险得到消除。
事件描述
11月4日,npm仓库中非常流行的coa、rc软件包被攻击者劫持,更新了数个版本,并在其中注入了恶意代码,该恶意代码只针对Windows服务器,且软件包的攻击手法相同,推测属于同一团伙所为。coa和rc软件包的周下载量接近千万级别,并被数百万开源项目所依赖,其中就包括著名前端框架react,因此影响范围非常广。
据宙斯盾流量团队的数据,恶意域名11月3日注册,4日凌晨开始有请求,被曝光后相信很快就