NPM恶意包分发TurkoRAT木马的威胁

关键要点

• 三个伪装成NodeJS库的恶意NPM包在过去两个月内累计下载超过1200次。
• 其中一个名为“nodejs-encrypt-agent”的包包含与合法NodeJS应用类似的“lib.exe”可执行文件，实际上却在执行TurkoRAT木马。
• TurkoRAT是一种可定制的窃取软件，能够窃取登录凭据和加密钱包，并能规避调试器和沙箱环境。
• 此外，另一个名为“nodejs-cookie-proxy-agent”的包利用其依赖包“axios-proxy”让恶意代码更难被发现。

根据的报道，近期发现有三个恶意的，这些包模仿NodeJS库，在过去两个月的时间里已经累计下载超过1200次，它们通过这些包分发了TurkoRAT信息窃取木马。ReversingLabs的研究人员发现，其中一个名为“nodejs-
encrypt-
agent”的包中包含一个与合法NodeJS应用相似的“lib.exe”可执行文件，但实际上它在运行TurkoRAT木马。这种可定制的窃取软件能够攻击登录凭据和加密钱包，同时能够有效地躲避调试器和沙箱环境。

同样，另一个名为“nodejs-cookie-proxy-agent”的包也部署了TurkoRAT，该包的依赖“axios-
proxy”中也包含了可执行文件，以便更好地规避检测。研究人员表示：“这一次，攻击者伪装成依赖项axios-proxy，且在nodejs-cookie-
proxy-
agent版本1.1.0、1.2.0、1.2.1和1.2.2的每个文件中都被引入。”尽管在检测到后这些包已被移除，但研究人员补充称，它们在NPM上的长期存在表明，开源包对软件供应链的风险提升。

总结 ：NPM上的这些恶意包暴露了开源生态系统的安全隐患，提醒开发者在使用第三方库时需格外小心，并定期检查其依赖包的安全性。