NPM组件 alan-baileys 等窃取主机敏感信息

于 2025-07-03 01:37:30 发布
阅读量811 收藏 12
点赞数 5
CC 4.0 BY-SA版权
文章标签: npm 前端 node.js NPM组件 恶意包 主机信息窃取
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/murphysec/article/details/149082601

【高危】NPM组件 alan-baileys 等窃取主机敏感信息

漏洞描述

当用户安装受影响版本的 alan-baileys 组件包时会窃取用户的主机名、用户名、工作目录、IP地址等信息并发送到攻击者可控的服务器地址。

MPS编号MPS-wkyd-5v7r
处置建议强烈建议修复
发现时间2025-07-02
投毒仓库npm
投毒类型主机信息收集
利用成本
利用可能性

影响范围

影响组件受影响的版本最小修复版本
logflow-json[2.4.12, 2.4.12]-
bl2-js-report[1.0.0, 1.1.3]-
taskrouter-event-listener[1.0.0, 1.0.0]-
twilio-webchat-widget[1.0.0, 1.0.0]-
sudai[1.0.0, 1.0.0]-
airbnb-rootkit-wow[1.0.0, 1.0.1]-
ipmi-command[1.0.0, 1.0.0]-
n8n-nodes-social[0.1.0, 1.0.0]-
cameoconfig[1.0.0, 7.7.7]-
patient-appointment-management[1.0.0, 1.0.0]-
telehealth[1.0.0, 1.0.0]-
alan-baileys[1.0.1, 1.0.1]-
octo-translations[7.7.7, 7.7.7]-
wp-stream[1.0.0, 1.0.0]-
draw-with-twilio[1.0.0, 1.0.0]-
com.razer.chromasdk[3.0.0, 4.0.0]-
azure-sentinel[1.0.0, 1.0.0]-
json-log-stream[0.1.0, 1.0.12]-
plugin-notes[1.0.0, 1.0.0]-
karakeep[1.0.0, 1.0.0]-
fivetran-webhook-example-express[7.7.7, 7.7.7]-

参考链接

https://www.oscs1024.com/hd/MPS-wkyd-5v7r

安全处理建议

  1. 排查是否安装了受影响的包:
    使用墨菲安全软件供应链安全平台等工具快速检测是否引入受影响的包。
  2. 立即移除受影响包:
    若已安装列表中的恶意包,立即执行 npm uninstall <包名>,并删除node_modules和package-lock.json后重新安装依赖。
  3. 全面检查系统安全:
    运行杀毒软件扫描,检查是否有异常进程、网络连接(重点关注境外 IP 通信),排查环境变量、配置文件是否被窃取(如数据库密码、API 密钥等),必要时重置敏感凭证。
  4. 加强依赖管理规范:
  • 仅从官方 NPM 源安装组件,避免使用第三方镜像或未知来源的包。
  • 使用npm audit、yarn audit定期检查依赖漏洞。
  • 限制package.json中依赖的版本范围(如避免*或latest),优先选择下载量高、社区活跃的成熟组件。
  • 集成墨菲安全软件供应链安全平台等工具自动监控风险。

一键自动排查全公司此类风险(申请免费使用)

墨菲安全为您免费提供一键排查全公司开源组件漏洞&投毒风险服务,可一键接入扫描全公司的代码仓库、容器镜像仓库、主机、制品仓库等。

试用地址:https://www.murphysec.com/apply?code=OSUK

提交漏洞情报:https://www.murphysec.com/bounty

关于本次投毒的分析

  • 包名:alan-baileys@1.0.1
    攻击目标:Baileys相关聊天应用
    理由:名称含"baileys",可能伪装成WhatsApp API库Baileys的依赖,窃取用户信息。

  • 包名:logflow-json@2.4.12
    攻击目标:日志处理应用
    理由:名称含"logflow",推测用于日志流处理,影响依赖日志功能的项目。

  • 包名:twilio-webchat-widget@1.0.0
    攻击目标:Twilio WebChat集成应用
    理由:包名直接关联Twilio WebChat组件,定向影响集成该功能的应用。

  • 包名:n8n-nodes-social@[0.1.0,1.0.0]
    攻击目标:n8n工作流用户
    理由:作为n8n社交节点插件,目标是使用该节点进行社交集成的n8n用户。

  • 包名:azure-sentinel@1.0.0
    攻击目标:Azure Sentinel集成项目
    理由:包名关联微软云安全工具Azure Sentinel,影响其相关集成项目。

  • 包名:com.razer.chromasdk@[3.0.0,4.0.0]
    攻击目标:Razer Chroma SDK用户
    理由:针对Razer设备灯光控制SDK,影响使用该SDK的游戏或应用开发者。

  • 包名:octo-translations@7.7.7
    攻击目标:GitHub相关翻译项目
    理由:"octo"可能关联GitHub,伪装翻译包,窃取使用该翻译功能的项目信息。

  • 包名:wp-stream@1.0.0
    攻击目标:WordPress stream功能项目
    理由:"wp"指向WordPress,目标是使用stream功能的WordPress插件或应用。

墨菲安全
关注
博客
NPM组件 @blocks-shared/atom-panel 等窃取主机敏感信息
07-12 301
NPM组件@blocks-shared/atom-panel等被投毒,安装后会窃取主机名、用户名、工作目录、IP地址等敏感信息并发送至攻击者服务器。影响nbastatsleftnav、ltiditest等多个组件,受影响版本范围广且无最小修复版本。漏洞利用成本低、可能性中,属高危风险。建议立即排查并卸载受影响包,删除node_modules及package-lock.json后重装依赖,同时全面检查系统安全,重置敏感凭证。
博客
NPM组件 @frontend-clients/wallet-web 等窃取主机敏感信息
07-11 345
NPM组件@frontend-clients/wallet-web等存在高危投毒漏洞,安装时会窃取主机名、用户名、工作目录、IP地址等敏感信息并发送至攻击者服务器。影响dependabot-ruleset-runner、yoomoney-github-landing等30余个组件特定版本,利用成本低,可能性中。建议立即排查并卸载受影响包,删除依赖文件后重装,全面检查系统安全,加强依赖管理规范。
博客
Chrome拓展 Video Speed Controller 等内嵌恶意后门
07-10 669
【高危】多款Chrome拓展(含Video Speed Controller相关)被植入恶意后门,可窃取用户浏览链接,与攻击者C2服务器建立持久连接,并强制浏览器重定向至恶意网站。受影响拓展涉及多个ID版本(如eckokfcjbjbgjifpcbdmengnabecdakp≤1.0.11等),利用成本低,风险等级高。建议立即排查并移除受影响拓展,全面检查系统安全。
博客
泛微e-cology < 10.76 前台SQL注入漏洞
07-10 388
泛微e-cology <10.76版本存在高危前台SQL注入漏洞。攻击者可未授权通过/api/doc/out/more/list接口注入恶意SQL至Redis,再经/api/ec/dev/table/counts接口执行,导致未授权SQL注入,可能进一步写入Webshell实现远程代码执行。影响版本为(-∞,10.76),建议立即升级至10.76及以上版本。应急可通过WAF阻断涉事接口、加强参数校验、限制Redis访问缓解风险。
博客
NPM组件 n8n-nodes-zalo-tools-vts 等窃取主机敏感信息
07-08 277
NPM组件n8n-nodes-zalo-tools-vts(0.0.1-0.0.6版本)及ass-frontend 1.0.0存在投毒风险,安装后会窃取主机名、用户名、工作目录、IP等敏感信息并发送至攻击者服务器。漏洞利用成本低,可能性中,属高危。建议立即排查并卸载受影响包,删除node_modules和package-lock.json后重装依赖,全面检查系统安全,加强依赖管理规范。
博客
Redis hyperloglog 越界写入导致远程代码执行漏洞
07-08 2357
CVE-2025-32023是Redis HyperLogLog组件的高危远程代码执行漏洞。由于解析稀疏编码数据时未验证操作码运行长度,导致整数溢出及堆越界写入。影响Redis 8.0.0-8.0.2、2.8-6.2.18、7.4.0-7.4.4、7.2.0-7.2.9版本,利用可能性高且存在POC。修复版本通过增加溢出检测标志位阻断越界操作,建议受影响用户升级至8.0.3+、6.2.19+、7.4.5+或7.2.10+,并限制服务访问来源。
博客
NPM组件包 json-cookie-csv 等窃取主机敏感信息
07-07 496
NPM组件包json-cookie-csv等存在高危投毒漏洞,安装受影响版本后会窃取主机名、用户名、工作目录、IP地址等敏感信息并发送至攻击者服务器。涉及token-renewal、graphql-commons、canonical-bridge-ui等20余个组件的特定版本,目前无最小修复版本。利用成本低、可能性中,强烈建议立即排查并移除受影响包,删除node_modules及package-lock.json后重装依赖,全面检查系统安全,加强依赖管理,仅使用官方源并限制版本范围。
博客
泛微e-cology remarkOperate远程命令执行漏洞
07-07 345
泛微e-cology remarkOperate接口存在高危远程命令执行漏洞,源于/api/workflow/reqform/remarkOperate接口的multipart类型参数requestid未经验证直接拼接SQL语句,导致SQL注入。攻击者可利用该漏洞执行任意SQL,甚至通过写文件实现远程命令执行。影响范围覆盖全版本,建议立即对该接口实施访问控制、WAF拦截SQL注入特征,同时升级至官方修复版本并采用参数化查询修复根本问题。
博客
NPM组件 querypilot 等窃取主机敏感信息
07-06 595
【高危】NPM组件querypilot等存在投毒风险,安装后会窃取主机名、用户名、工作目录、IP地址等敏感信息并发送至攻击者服务器。受影响组件包括@vapc-ui/font-icon、@indigo-mobile/material、querypilot等30余个,版本多为[1.0.0, 99.99.99]等大范围。利用成本低,可能性中。建议立即排查卸载受影响包,删除node_modules后重装依赖,全面检查系统安全,加强依赖管理(如限制版本范围、使用官方源)。
博客
泛微e-cology remarkOperate远程命令执行漏洞
07-06 294
泛微e-cology协同管理平台存在高危远程命令执行漏洞,因/api/workflow/reqform/remarkOperate接口的multipart类型参数requestid未校验直接拼接SQL,导致SQL注入。攻击者可执行任意SQL,甚至写文件实现远程命令执行,影响所有版本。建议立即限制接口访问、配置WAF过滤、验证参数输入,并通过官方渠道获取补丁修复。
博客
NPM组件 nodemantle002 等窃取主机敏感信息
07-05 555
高危NPM组件投毒漏洞(MPS-qrk7-ayms)影响nodemantle002、lz-evm-sdk-v1等多个包,安装后窃取主机名、用户名、IP地址等敏感信息并发送至攻击者服务器。受影响版本包括nodemantle002@2.3.1-6.2.1、definitelytyped-tools@1.0.0-99.99.98等。利用成本低,建议立即排查并卸载恶意包,删除node_modules后重装依赖,加强依赖管理(限制版本范围、使用官方源),用安全工具监控风险。
博客
泛微e-cology remarkOperate远程命令执行漏洞
07-05 538
泛微e-cology协同管理平台存在高危远程命令执行漏洞,因/api/workflow/reqform/remarkOperate接口的multipart类型requestid参数未校验,直接拼接进SQL语句导致SQL注入。攻击者可执行任意SQL,甚至通过写文件实现远程命令执行。所有版本均受影响,建议通过官方安全补丁修复,或临时用WAF拦截特殊字符、限制接口访问来源等应急措施。
博客
深信服运维安全管理系统 netConfig/set_port 远程命令执行漏洞【POC已公开】
07-03 652
深信服运维安全管理系统存在严重远程命令执行漏洞(MPS-jnpc-w4hi),攻击者可绕过登录限制,通过未授权访问netConfig/set_port接口实现远程命令执行,获取系统权限。该漏洞POC已公开,利用成本低、可能性极高。影响版本为3.0.11_20231222之前的所有版本,最小修复版本为3.0.11_20231222。建议立即升级系统,同时可采取限制访问IP、防火墙拦截含接口关键字请求等应急措施。
博客
汉王e脸通综合管理平台 meetingFileManage.do 未授权SQL注入漏洞
07-02 671
汉王e脸通综合管理平台manage/meeting/meetingFileManage.do接口order字段存在未授权SQL注入漏洞。该设备用于门禁、考勤等场景,受影响版本广泛。漏洞利用成本低、可能性极高且有POC,攻击者可未授权执行SQL命令。排查可访问目标路径并测试order参数响应差异。建议立即限制接口访问、部署WAF过滤,根本修复需升级至修复版本并添加认证与参数校验。
博客
NPM组件 betsson 等窃取主机敏感信息
07-01 985
NPM仓库多个组件(如betsson [1.0.0,99.99.2]、mod-cloud [1.0.6,1.1.3]、zenith-quest 1.0.1等)被植入恶意代码,安装后会窃取主机名、用户名、工作目录、IP地址等敏感信息并发送至攻击者服务器。利用成本低,影响范围广。建议立即排查并卸载受影响包,删除node_modules及package-lock.json后重装依赖,全面检查系统安全(如异常进程、境外IP通信),加强依赖管理(使用官方源、限制版本范围、定期审计)。
博客
Dataease <2.10.11 PostgreSQL数据源JDBC连接参数绕过漏洞
07-01 485
DataEase <2.10.11版本存在高危PostgreSQL数据源JDBC连接参数绕过漏洞(CVE-2025-53005)。因仅对JDBC连接字符串中socketFactory/socketFactoryArg参数黑名单限制,攻击者可通过sslfactory、sslfactoryarg等未限制参数绕过。影响io.dataease:core-backend及dataease组件,建议升级至2.10.11及以上版本,修复通过新增sslfactory、sslhostnameverifier等参数黑名单实现。
博客
PyPI仓库 loggutils 组件内嵌恶意代码
06-30 190
PyPI仓库loggutils组件0.1.0版本内嵌恶意代码,属高危风险。安装后会窃取用户浏览器数据、剪贴板信息、系统文件,记录键盘输入并截取摄像头画面,同时实现远程控制。利用成本低,利用可能性中。建议立即排查是否安装该版本包,若已安装需彻底移除并扫描系统,检查异常进程与敏感信息泄露,加强依赖管理,仅从官方源安装组件并定期审计依赖安全。
博客
Apache Seata < 2.3.0 raft反序列化漏洞
06-30 329
Apache Seata <2.3.0存在高危反序列化漏洞(CVE-2025-32897),影响Seata Server [2.0.0, 2.3.0)版本。Raft模块CustomDeserializer未校验用户可控类名,直接通过Class.forName()加载,攻击者可利用服务端恶意链实现远程代码执行。修复版本2.3.0引入白名单机制,仅允许反序列化org.apache.seata包下类。建议受影响用户立即升级至2.3.0及以上版本,或限制Raft端口访问并启用IP白名单。
博客
总结过去三年软件供应链安全一些非共识核心问题
03-19 869
过去三年,我大概每年平均至少见300个企业的专家和大佬们,这三年下来也快1000人次了吧。虽然有一些人是重复见了很多次的,但每次见也多少会有新的收获。因为工作的原因,我们聊最多的话题其实是跟软件供应链安全相关的,所以我最近就特别想把过去我们这1000次交流过程中,聊到的最核心的问题都提炼出来,然后在今年的产品迭代、公众号、直播、闭门会议、对外技术交流分享中,把这些内容重点放进去。也是希望通过这样的方式,给所有准备做,或者正在做企业软件供应链安全的专家和大佬朋友们一些输入。
博客
探讨企业安全项目立项成功的关键
03-19 581
尤瓦尔·赫拉利在《人类简史》中说道:“讲故事”和“相信故事”的能力,是原始部落突破150人上限、展开大规模协作的前提。立项是什么?其实就是你在企业内部,把想做的事情以故事的形式,讲给企业管理者和同事们听,并且让他们相信这个故事,从而投入资源来帮助你实现你的故事。因为创业的缘故,平时和企业客户接触最多的一项工作,就是辅助企业安全专家大佬们,在内部申请立项。而且经常面对的是,来自各行业企业的客户的立项需求。虽然各家企业内部,立项的级别和项目内容,会有一些区别。但总体来说,立项流程。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值