新型恶意NPM软件包的发现

关键要点

• Phylum发现了由“malikrukd4732”开发的恶意NPM软件包，可能导致敏感数据泄露。
• 所有测试软件包于7月31日被确认，并以新的、合法的名称重新上传。
• 初步猜测这些软件包的目标可能是加密货币领域。
• 安装后会触发预安装的preinstall.js文件，进一步激活index.js代码以扫描文件和目录。
• 被攻击者的服务器通过ZIP压缩包传送被盗数据。

根据的报道，Phylum对新发现的恶意NPM软件包进行了分析，这些软件包由名为“malikrukd4732”的开发者创建，泄露敏感数据的可能性令人担忧。这些包在7月31日被发现之后，以更精细的形式重新上传，且使用了新的具有合法性的名称。

Phylum的研究人员推测，加密货币领域可能是这些恶意NPM软件包的主要目标。安装这些软件包会自动执行preinstall.js文件，随后触发index.js代码，该代码负责扫描系统中的文件和目录，寻找特定的文件扩展名。为了将被盗的数据传送给攻击者的服务器，攻击者利用ZIP压缩包作为传输媒介。

Phylum表示：“虽然这些目录可能包含敏感信息，但更可能是其中含有大量标准应用程序文件，这些文件并非受害者系统特有，因此对攻击者的价值较低。攻击者的动机似乎更集中在提取源代码或特定环境的配置文件上。”

为了保护自己，建议开发者定期检查所使用的NPM包，确保它们的来源合法且安全。同时，也要注意监测系统中任何异常活动，以防止敏感数据被泄露。