攻击技术研判｜见微知著，NPM软件包供应链攻击赏析

本文链接：https://blog.csdn.net/wangluoanquan111/article/details/132390377

本文揭示了一次利用Node.jsNPM存储库的供应链攻击事件，攻击者通过篡改包配置文件和滥用node.js服务创建权限维持，窃取用户浏览器密码。文章强调了公共软件包存储库的安全隐患，并提出防范此类攻击的策略。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

情报背景

近日ReversingLabs的工作人员在Node.js的开源包管理器NPM的在线存储库中发现了含有恶意代码的第三方软件包，该恶意代码通过部署后门达到窃取用户浏览器中保存的账户密码的目的。

在本篇研判中，我们将通过对本次供应链攻击事件的分析，揭秘利用NPM存储库投递恶意代码的攻击手法，对公共软件包存储库可能存在的安全隐患进行思考。

组织名称

暂无

—|—

战术标签

初始访问执行权限维持

技术标签

供应链攻击、NPM劫持、nodejs服务创建

情报来源

https://blog.secure.software/groundhog-day-npm-package-caught-stealing-
browser-passwords

攻击技术分析

亮点一：滥用NPM包安装配置文件实现命令劫持

攻击者通常将恶意软件包名称伪装为其他更为流行的软件包诱导受害者进行下载与执行。而在本次供应链攻击事件中，攻击者采取了滥用NPM安装配置文件的方法来对jstest软件包进行劫持。jstest是一个跨平台的JavaScript测试框架，在开发者当中具有相当的流行度。

NPM包管理器通过创建符号链接的方式将命令添加到PATH中，两种安装模式会在不同位置创建符号链接：全局模式将会符号链接安装至安装路径下的prefix/bin中，本地安装模式则会创建于./node_modules/.bin/中。

1627888398_61079b0eb934a0e7ca264.jpg!small?1627888398821 NPM包的package.json配置文件中包含了“bin”字段，该字段说明了命令与文件路径的对应关系。如上图，该配置文件指明jstest命令所对应的二进制位置是该恶意软件包中包含的“./bin/jstest”文件。在本地安装模式中，即便jstest命令已存在，仍会在无需用户二次确认的情况下覆盖原有链接文件，实现对该命令的劫持。一旦用户在命令行中执行jstest命令，软件包中的恶意代码将以与用户相同的权限被执行。用户通常在命令行中使用jstest测试工具是攻击者选择命令劫持这种方式的主要原因。

亮点二：滥用node.js创建服务实现权限维持

在成功完成命令劫持之后，攻击者通过将恶意软件包中的lib/test.js文件安装为系统服务来实现权限维持的目的。 1627888430_61079b2e4f0b89950ab57.png!small?1627888430810

此处攻击者利用了第三方库node-
windows来完成服务创建的操作，该第三方库的主打功能是将node.js脚本作为Windows服务执行，并且支持指定nodejs执行参数。

攻击者并未对此部分代码未作太多修改，与示例代码差别不大，但值得注意的是该恶意服务的uninstall函数的实际操作依然是将恶意脚本再次执行而非真正卸载，这导致用户将无法通过正常方式直接卸载该服务。

1627888457_61079b4955d4c54b1088a.png!small?1627888457594

缺陷：软件包中的测试文件泄露攻击者凭据信息

攻击者利用NirSoft出品的浏览器密码恢复工具ChromePass工具实现用户密码的窃取。该工具本身并非恶意软件，但因可从命令行启动导出，并导出chrome中保存的用户名与密码的能力被攻击者滥用。

1627888475_61079b5b64ca0b3039934.png!small?1627888475628

命令行方式执行，导出chrome中保存的用户名与密码到单文件。

1627888496_61079b709dc76f523165b.png!small?1627888496837

攻击者因为疏漏将其在个人电脑测试该工具而导出的密码文件上传至repo，并以文本文件“a.txt”的形式包含在了1.1.1与1.1.2版本的发布中。

1627888516_61079b8445fb059bec6b6.png!small?1627888516494

该文件包含了攻击者个人主机中从2020年3月20日到2020年12月2日的282个登录凭据，包括用户名、密码与登录网址。

总结

本次事件是基于开源软件公共软件包存储库的供应链攻击的典型案例，攻击者利用开发者对与第三方开源软件包的盲目信任，部署窃取用户信息的后门木马。

本次基于NPM的供应链攻击事件具有以下特点：

1. 门槛低：任何注册了NPM账号的用户都可以上传发布自己开发的软件包，缺乏必要的审核措施

2. 数量大：虽然有恶意软件举报机制，但高达130万个三方软件包的托管量导致缺乏有效及时的监管方法

3. 少意识：开发者仅关注功能需求，缺乏对第三方库的源码加以甄别的安全意识与能力，随意地安装测试

这些因素共同提升了恶意代码通过NPM软件包被引入项目的风险。

经过多年的实网攻防对抗的磨练，各家厂商对于外部的威胁无不秣马厉兵、枕戈待旦。但自solarwinds事件开始，供应链攻击似乎越来越成为一种潜在的攻击趋势，隐匿而致命地由内部击破安全防线。在这种大环境下，如何有效地防范这种针对开发人员的供应链攻击手段，是所有安全工作者应当思考的。

应链攻击似乎越来越成为一种潜在的攻击趋势，隐匿而致命地由内部击破安全防线。在这种大环境下，如何有效地防范这种针对开发人员的供应链攻击手段，是所有安全工作者应当思考的。

题外话

初入计算机行业的人或者大学计算机相关专业毕业生，很多因缺少实战经验，就业处处碰壁。下面我们来看两组数据：

2023届全国高校毕业生预计达到1158万人，就业形势严峻；

国家网络安全宣传周公布的数据显示，到2027年我国网络安全人员缺口将达327万。

一方面是每年应届毕业生就业形势严峻，一方面是网络安全人才百万缺口。

6月9日，麦可思研究2023年版就业蓝皮书（包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》）正式发布。

2022届大学毕业生月收入较高的前10个专业

本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中，本科计算机类专业起薪与2021届基本持平，高职自动化类月收入增长明显，2022届反超铁道运输类专业（5295元）排在第一位。

具体看专业，2022届本科月收入较高的专业是信息安全（7579元）。对比2018届，电子科学与技术、自动化等与人工智能相关的本科专业表现不俗，较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼，已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Oc8Es0r9-1692503584539)(C:\Users\Administrator\AppData\Roaming\Typora\typora-user-images\image-20230809162658551.png)]

“没有网络安全就没有国家安全”。当前，网络安全已被提升到国家战略的高度，成为影响国家安全、社会稳定至关重要的因素之一。

网络安全行业特点

1、就业薪资非常高，涨薪快 2021年猎聘网发布网络安全行业就业薪资行业最高人均33.77万！

2、人才缺口大，就业机会多

2019年9月18日《中华人民共和国中央人民政府》官方网站发表：我国网络空间安全人才需求140万人，而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W，现在从事网络安全行业的从业人员只有10W人。

行业发展空间大，岗位非常多

网络安全行业产业以来，随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…

职业增值潜力大

网络安全专业具有很强的技术特性，尤其是掌握工作中的核心网络架构、安全技术，在职业发展上具有不可替代的竞争优势。

随着个人能力的不断提升，所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟，升值空间一路看涨，这也是为什么受大家欢迎的主要原因。

从某种程度来讲，在网络安全领域，跟医生职业一样，越老越吃香，因为技术愈加成熟，自然工作会受到重视，升职加薪则是水到渠成之事。

黑客&网络安全如何学习

今天只要你给我的文章点赞，我私藏的网安学习资料一样免费共享给你们，来看看有哪些东西。

1.学习路线图

行业发展空间大，岗位非常多

职业增值潜力大

网络安全专业具有很强的技术特性，尤其是掌握工作中的核心网络架构、安全技术，在职业发展上具有不可替代的竞争优势。

从某种程度来讲，在网络安全领域，跟医生职业一样，越老越吃香，因为技术愈加成熟，自然工作会受到重视，升职加薪则是水到渠成之事。

黑客&网络安全如何学习

今天只要你给我的文章点赞，我私藏的网安学习资料一样免费共享给你们，来看看有哪些东西。

1.学习路线图

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-qwsCo5IO-1692503584541)(C:\Users\Administrator\Desktop\网安思维导图\享学首创年薪40W+网络安全工程师青铜到王者技术成长路线V4.0.png)]

攻击和防守要学的东西也不少，具体要学的东西我都写在了上面的路线图，如果你能学完它们，你去就业和接私活完全没有问题。

2.视频教程

网上虽然也有很多的学习资源，但基本上都残缺不全的，这是我自己录的网安视频教程，上面路线图的每一个知识点，我都有配套的视频讲解。

内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等，都是网络安全入门必知必会的学习内容。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-QLiFc3sl-1692503584542)(C:\Users\Administrator\Desktop\网安资料截图\视频课件.jpeg)]

（都打包成一块的了，不能一一展开，总共300多集）

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！