btwiuse 在 NPM 仓库中发布后门组件
报告来源:OSCS开源安全社区 更新日期:2022-07-04 事件简述 NPM 是 Node.js 包管理工具,提供了对第三方 Node.js 包的查找、下载、安装、卸载等功能。 2022 年 07 月 04 日,OSCS 监测发现 NPM 官方仓库被 btwiuse 上传了 btwiuse、k0s 恶意组件包,使用恶意组件包后会在用户电脑上加载名为 k0s 的远控木马,危害较为严重,OSCS 提醒广大开发者关注。 详细分析 以 k0s 组件为例,其目录结构如下: index.js package.json 引入该组件后会执行远控木马程序,危险代码存在于 package.json 与 index.js 文件中。 恶意代码如下: 进行代码溯源可发现会安装如下地址的远程控制服务 https://github.com/btwiuse/k0s.git/ 其远控服务端地址如下 https://k0s.io/ OSCS 开源安全社区建议广大用户做好资产自查以及预防工作,以免遭受黑客攻击。 处置建议 OSCS 开源安全社区建议用户通过以下方式排查: 1、使用npm ls或npm...
