Sonatype 研究人員發現并確認了兩個新的易受攻擊的 npm 軟件包。據研究人員介紹，這兩個軟件包最初由他們的惡意代碼自動檢測系統?(malicious code detection bots) 發現，這套系統應用了機器學習和人工智能技術，可識別可疑的代碼提交、項目更新情況和編碼風格，并持續對數百萬個開源組件新版本的變更進行評估。在收到檢測系統的報警后，其安全研究團隊驗證了兩個 npm 軟件包中是否存在惡意代碼，并追蹤了預期的漏洞利用途徑。

這兩個軟件包分別是：

• electorn

• loadyaml

上面兩個軟件包的作者為同一個人，除此之外，檢測系統還發現了這名作者另外兩個沒有發布到 npm 中央倉庫的軟件包：

• loadyml

• lodashs

可以看到，"electorn"和"lodashs"這兩個惡意軟件包故意將名字拼寫錯誤（對應的正確名稱是“electron”和“lodash”），通過冒充合法的軟件包并使不知情的開發者可以下載它們。對于部分無意打錯字且毫無戒心的用戶，他們便會在其開發環境中安裝惡意軟件包，而不是最初打算下載的軟件包。例如，開發者錯將“electron”打成“electorn”。

一旦安裝了惡意軟件包，它們便會按照固定的時間頻率在后臺運行收集用戶 IP 地址、地理位置數據、用戶名、home 目錄路徑和 CPU 型號信息的腳本。

這些信息的一部分構成了設備的指紋信息，被實時上傳并發布在 GitHub 公共頁面上。雖然部分信息經過了 base64 編碼，但任何人都有權限訪問這些信息并且可以十分輕松地將其解碼。

Sonatype 安全研究團隊向 GitHub 和 npm 反饋了此問題，這些惡意軟件包目前已被下架。從發布到被下架，這些軟件包的下載量總計超過 400 次：

• electorn: 255

• lodashs: 78

• loadyaml: 48

• loadyml: 37

目前尚不清楚惡意軟件包作者收集這些數據的目的是什么，為什么將其發布在網絡上以供全世界查看。然而，像這樣的事件凸顯了開源生態中 Typosquatting 攻擊（誤植域名）的潛在威脅。通過欺騙毫無戒備的開發者安裝一個拼寫錯誤的軟件包，攻擊者可以將他們的惡意代碼向“下游”推送到任何依賴這些“李鬼軟件包”的開源項目，從而形成開源軟件供應鏈攻擊。

由于微信平臺算法改版，公號內容將不再以時間排序展示，如果大家想第一時間看到我們的推送，強烈建議星標我們和給我們多點點【在看】。星標具體步驟為：（1）點擊頁面最上方“小詹學Python”，進入公眾號主頁。 （2）點擊右上角的小點點，在彈出頁面點擊“設為星標”，就可以啦。 感謝支持，比心。

總結

以上是生活随笔為你收集整理的恶意npm包收集用户IP等信息并在GitHub传播的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。