软件供应链投毒 — NPM 恶意组件分析（二）

 聚焦源代码安全，网罗国内外最新资讯！

专栏·供应链安全

数字化时代，软件无处不在。软件如同社会中的“虚拟人”，已经成为支撑社会正常运转的最基本元素之一，软件的安全性问题也正在成为当今社会的根本性、基础性问题。

随着软件产业的快速发展，软件供应链也越发复杂多元，复杂的软件供应链会引入一系列的安全问题，导致信息系统的整体安全防护难度越来越大。近年来，针对软件供应链的安全攻击事件一直呈快速增长态势，造成的危害也越来越严重。

为此，我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯，分析供应链安全风险，提供缓解建议，为供应链安全保驾护航。

注：以往发布的部分供应链安全相关内容，请见文末“推荐阅读”部分。

一、概述

npm仓库是最易遭受投毒攻击的开源仓库之一。奇安信开源卫士开源仓库监控平台在2月份检测出近百个恶意组件，其中大部分的恶意组件攻击方式集中在下载安装阶段。

恶意组件利用npm提供的一系列生命周期钩子执行恶意代码获取敏感信息，如用户名、密码、dns、服务器ip、github配置等，发送给攻击者，或者通过反弹shell，造成主机失陷，以此来达到攻击的目的。其中部分恶意代码会经过加密混淆等加工，使检测难度进一步加大。

本文将选取奇安信开源卫士开源仓库监控平台近一个月监测到的部分标志性恶意组件进行分析。

二、部分标志性恶意组件示例及分析

奇安信开源卫士近一个月监测到的部分标志性恶意组件如下表所示：