NPM组件 alan-baileys 等窃取主机敏感信息

【高危】NPM组件 alan-baileys 等窃取主机敏感信息

漏洞描述

当用户安装受影响版本的 alan-baileys 组件包时会窃取用户的主机名、用户名、工作目录、IP地址等信息并发送到攻击者可控的服务器地址。

MPS编号MPS-wkyd-5v7r
处置建议强烈建议修复
发现时间2025-07-02
投毒仓库npm
投毒类型主机信息收集
利用成本
利用可能性

影响范围

影响组件受影响的版本最小修复版本
logflow-json[2.4.12, 2.4.12]-
bl2-js-report[1.0.0, 1.1.3]-
taskrouter-event-listener[1.0.0, 1.0.0]-
twilio-webchat-widget[1.0.0, 1.0.0]-
sudai[1.0.0, 1.0.0]-
airbnb-rootkit-wow[1.0.0, 1.0.1]-
ipmi-command[1.0.0, 1.0.0]-
n8n-nodes-social[0.1.0, 1.0.0]-
cameoconfig[1.0.0, 7.7.7]-
patient-appointment-management[1.0.0, 1.0.0]-
telehealth[1.0.0, 1.0.0]-
alan-baileys[1.0.1, 1.0.1]-
octo-translations[7.7.7, 7.7.7]-
wp-stream[1.0.0, 1.0.0]-
draw-with-twilio[1.0.0, 1.0.0]-
com.razer.chromasdk[3.0.0, 4.0.0]-
azure-sentinel[1.0.0, 1.0.0]-
json-log-stream[0.1.0, 1.0.12]-
plugin-notes[1.0.0, 1.0.0]-
karakeep[1.0.0, 1.0.0]-
fivetran-webhook-example-express[7.7.7, 7.7.7]-

参考链接

https://www.oscs1024.com/hd/MPS-wkyd-5v7r

安全处理建议

  1. 排查是否安装了受影响的包:
    使用墨菲安全软件供应链安全平台等工具快速检测是否引入受影响的包。
  2. 立即移除受影响包:
    若已安装列表中的恶意包,立即执行 npm uninstall <包名>,并删除node_modules和package-lock.json后重新安装依赖。
  3. 全面检查系统安全:
    运行杀毒软件扫描,检查是否有异常进程、网络连接(重点关注境外 IP 通信),排查环境变量、配置文件是否被窃取(如数据库密码、API 密钥等),必要时重置敏感凭证。
  4. 加强依赖管理规范:
  • 仅从官方 NPM 源安装组件,避免使用第三方镜像或未知来源的包。
  • 使用npm audit、yarn audit定期检查依赖漏洞。
  • 限制package.json中依赖的版本范围(如避免*或latest),优先选择下载量高、社区活跃的成熟组件。
  • 集成墨菲安全软件供应链安全平台等工具自动监控风险。

一键自动排查全公司此类风险(申请免费使用)

墨菲安全为您免费提供一键排查全公司开源组件漏洞&投毒风险服务,可一键接入扫描全公司的代码仓库、容器镜像仓库、主机、制品仓库等。

试用地址:https://www.murphysec.com/apply?code=OSUK

提交漏洞情报:https://www.murphysec.com/bounty

关于本次投毒的分析

  • 包名:alan-baileys@1.0.1
    攻击目标:Baileys相关聊天应用
    理由:名称含"baileys",可能伪装成WhatsApp API库Baileys的依赖,窃取用户信息。

  • 包名:logflow-json@2.4.12
    攻击目标:日志处理应用
    理由:名称含"logflow",推测用于日志流处理,影响依赖日志功能的项目。

  • 包名:twilio-webchat-widget@1.0.0
    攻击目标:Twilio WebChat集成应用
    理由:包名直接关联Twilio WebChat组件,定向影响集成该功能的应用。

  • 包名:n8n-nodes-social@[0.1.0,1.0.0]
    攻击目标:n8n工作流用户
    理由:作为n8n社交节点插件,目标是使用该节点进行社交集成的n8n用户。

  • 包名:azure-sentinel@1.0.0
    攻击目标:Azure Sentinel集成项目
    理由:包名关联微软云安全工具Azure Sentinel,影响其相关集成项目。

  • 包名:com.razer.chromasdk@[3.0.0,4.0.0]
    攻击目标:Razer Chroma SDK用户
    理由:针对Razer设备灯光控制SDK,影响使用该SDK的游戏或应用开发者。

  • 包名:octo-translations@7.7.7
    攻击目标:GitHub相关翻译项目
    理由:"octo"可能关联GitHub,伪装翻译包,窃取使用该翻译功能的项目信息。

  • 包名:wp-stream@1.0.0
    攻击目标:WordPress stream功能项目
    理由:"wp"指向WordPress,目标是使用stream功能的WordPress插件或应用。

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值