重大SBOM风险预警 | 总下载量超百万次开源NPM组件被投毒

发布于:2025-03-31 ⋅ 阅读:(23) ⋅ 点赞:(0)

SBOM情报概述

近日(2025.03.25),悬镜供应链安全情报中心在NPM官方仓库(www.npmjs.com)中捕获1起针对全球知名薪酬数据统计平台 PayScale 旗下开源NPM组件 country-currency-map的供应链投毒事件。country-currency-map 是一款可以帮助前端开发人员快速获取货币和国家/地区关系,便于开发国际化应用的开源组件。截至目前 country-currency-map 组件在NPM官方仓库总下载量已超过百万次。

图片

country-currency-map 项目主页

country-currency-map组件的上个版本(2.1.7)发布时间为 2020年4月7号,时隔5年后(2025.03.25),PayScale 官方账号(npm@payscale.com)在NPM上发布最新版本 2.1.8,而该版本组件代码被投毒者植入混淆的恶意代码, 一旦安装该组件则会静默触发执行恶意代码,其主要功能是启动定时器,每隔5分钟将受害者系统的环境变量数据发送到投毒者服务器,倘若系统环境变量中保存开发者的业务系统私钥、API Token等敏感凭证,将进一步加剧业务系统遭受供应链攻击的风险。

目前country-currency-map组件仍正常托管在NPM官方仓库及国内各大主流镜像源,对于NPM开发者来说存在较大安全隐患。悬镜安全已于第一时间将该组件投毒的详细技术分析向XSBOM供应链安全情报订阅用户进行推送预警。

图片

PayScale NPM项目列表

根据NPM官方接口统计,country-currency-map 组件仅NPM官方仓库总下载量已超过百万次(1175713)。

https://npm-stat.com/api/download-counts?from=2017-01-01&until=2025-03-26&package=country-currency-map

Github上的country-currency-map项目源码为2.1.7安全版本,未遭受投毒攻击。此外,根据Github项目依赖统计数据,超过170个github开源项目使用country-currency-map组件。考虑到该开源组件的下载量以及使用量,此次投毒攻击是个典型的供应链攻击事件,而攻击根源我们推测是PayScale平台的NPM账号密码或NPM auth token被投毒者盗取导致。

图片

依赖country-currency-map组件的开源项目

投毒分析

=1 代码混淆

country-currency-map组件最新2.1.8版本的package.json文件被投毒者植入postinstall指令实现安装时静默执行"node ./scripts/launch.js"命令。

图片

postinstall恶意指令

scripts/launch.js 文件代码被混淆保护,如下所示:

图片

launch.js代码混淆

scripts/launch.js 混淆代码还原后,主要代码功能是调用child_process模块进一步执行同目录下的JS文件 scripts/diagnostic-report.js。

图片

launch.js混淆代码还原

diagnostic-report.js文件同样被混淆处理,如下图所示:

图片

diagnostic-report.js代码混淆

系统环境变量外传

diagnostic-report.js 混淆代码还原后,其恶意代码主要功能是通过setTimeout()接口启动定时器,每隔5分钟调用collectEnv()函数将系统环境变量数据进行base64编码后再外传到投毒者webhook接口(https://eoi2ectd5a5tn1h.m.pipedream.net)。

图片

diagnostic-report.js窃取系统环境变量信息

IoC 数据

本次捕获的NPM投毒组件包涉及的IoC数据如下表所示:

图片

排查方式

1. 开发者可通过命令 npm list country-currency-map@2.1.8 在项目目录下使用查询是否已安装存在恶意投毒的组件版本,如果已安装请立即使用 npm install country-currency-map@2.1.7 将存在投毒的版本卸载并回退到安全版本。此外还需关闭系统网络并排查系统是否存在异常进程。

2. 此外,也可使用 OpenSCA-cli 工具将受影响的组件包按如下示例保存为db.json文件,直接执行扫描命令(opensca-cli -db db.json -path ${project_path}),即可快速获知您的项目是否受到投毒包影响。

[  {    "product": "country-currency-map",    "version": "[2.1.8]",    "language": "javascript",    "id": "XMIRROR-MAL45-DE0AF19",    "description": "country-currency-map组件2.1.8版本存在代码投毒窃取系统环境敏感信息",    "release_date": "2025-03-25"  }]

悬镜供应链安全情报中心是国内首个数字供应链安全情报研究中心。依托悬镜安全团队强大的供应链SBOM管理与监测能力和AI安全大数据云端分析能力,悬镜云脉XSBOM数字供应链安全情报预警服务通过对全球数字供应链投毒情报、漏洞情报、停服断供情报等进行实时动态监测与溯源分析,可为用户智能精准预警“与我有关”的数字供应链安全情报,提供情报查询、情报订阅、可视化关联分析等企业级服务。

网站公告

今日签到

点亮在社区的每一天
去签到

热门文章

最新发布