NPM组件 @ivy-shared-components/iconslibrary 等窃取主机敏感信息

于 2025-07-16 00:36:09 发布
阅读量923 收藏 7
点赞数 25
CC 4.0 BY-SA版权
文章标签: npm 前端 node.js NPM组件投毒 主机敏感信息窃取 恶意NPM包
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/murphysec/article/details/149375253

【高危】NPM组件 @ivy-shared-components/iconslibrary 等窃取主机敏感信息

漏洞描述

当用户安装受影响版本的 @ivy-shared-components/iconslibrary 等NPM组件包时会窃取用户的主机名、用户名、工作目录、IP地址等信息并发送到攻击者可控的服务器地址。

MPS编号MPS-zh19-e78w
处置建议强烈建议修复
发现时间2025-07-15
投毒仓库npm
投毒类型主机信息收集
利用成本
利用可能性

影响范围

影响组件受影响的版本最小修复版本
@ivy-shared-components/iconslibrary[99.99.99, 99.99.991]-
ado-codespaces-auth[1.0.0, 1.0.0]-
ringcentral-google-drive-notification-add-in[2.2.2, 2.2.2]-
vss-web-auth-client[1.0.0, 1.0.0]-
finactivitiy-run[2.0.0, 2.0.0]-
okta-template-validator[99.99.99, 99.99.99]-
lezer-promql-tree-viz[1.0.0, 1.0.0]-
ai-gallery[1.0.0, 1.0.0]-
api-key-provider[1.0.0, 1.0.0]-
webvieweventtest[1.0.0, 1.0.0]-
jss-0.8.4[1.0.0, 1.0.0]-
axio.js[1.0.0, 1.0.0]-
ngf-attachments-list[1.1.30, 1.1.32]-
ai-audio-descriptions[1.0.0, 1.0.0]-
@cewe-designsystem/component_modal[99.9.0, 99.9.0]-
agent-configurator[1.0.0, 1.0.0]-
asios.js[1.0.0, 1.0.0]-
blockchain-helper-lib[0.0.1, 0.0.8]-
flpmonitor[1.0.0, 1.0.0]-
pxsceneui-example-03[1.0.9, 3.0.2]-
square-crypto-utils-internal[1.0.0, 1.0.0]-
grafana-strava-datasource[1.0.0, 1.0.0]-
boost-chii-90[1.1.5, 1.1.5]-
wrb3[1.0.0, 1.0.0]-
eslint-config-ivy[99.99.99, 99.99.993]-
acios.js[1.0.0, 1.0.0]-
public-tools-and-demos[1.0.0, 1.0.1]-
istio-feeder[1.2.5, 1.2.5]-
doctolib-appointment-finder[2.1.4, 2.1.4]-
shared-workflows[1.0.0, 1.0.0]-
dt-retag-lib[1.0.0, 1.0.0]-
codecops[1.0.0, 1.3.0]-
date-fns-2[1.0.0, 1.0.0]-
grafana-amazonprometheus-datasource[1.0.0, 1.0.0]-
lspushpage[7.2.1, 7.2.2]-
navigation-service[1.0.0, 1.1.0]-
shardeum-json-rpc[2.0.0, 2.0.0]-
ts-immutable-sdk[0.0.0, 7.7.7]-
@cbre-internal/mapping-component[99.9.0, 99.9.0]-
bk-card-cc-credit-limit-adjustment-ui[9.9.9, 9.9.9]-
scenes-ml-app[1.0.0, 1.0.0]-
ezer-promql-tree-viz[1.0.0, 1.0.0]-
wb3[1.0.0, 1.0.0]-
mydealer-service[1.0.0, 2.1.0]-
jet-os-detection[1.9.4, 1.9.4]-
mydealer-configuration-service[1.0.0, 2.2.0]-
mydealer-content-service[1.0.0, 1.2.0]-
artifact-registry-client[99.99.99, 99.99.99]-
azios.js[1.0.0, 1.0.0]-
course-config[7.7.7, 7.7.7]-
iron-github-io[1.0.0, 1.0.0]-
loki-release[1.0.0, 1.0.0]-
js-0.8.3[1.0.0, 1.0.0]-
ngf-attachment-item-view[1.1.22, 1.1.23]-
yandex-metrica[50.50.50, 50.50.50]-
mgzfakee[1.0.0, 1.0.2]-
@didi-pebble/pblint[1.0.0, 99.9.0]-
user-interaction-service[1.0.0, 2.0.0]-
appcenter-sampleapp-react-native[1.0.0, 1.0.0]-
ngf-gov-hr-navbar[0.2.20, 0.2.20]-
neolang-ui[1.0.0, 1.0.0]-
symphony-cryptolib[99.9.0, 99.9.0]-
community-pass-react-native-wrapper[0.0.2, 1.0.0]-
healthbottestservice[1.0.0, 1.0.0]-
bombora[1.0.0, 1.0.0]-
okta-ui-private-components[1.0.0, 1.0.0]-

参考链接

https://www.oscs1024.com/hd/MPS-zh19-e78w

安全处理建议

  1. 排查是否安装了受影响的包:
    使用墨菲安全软件供应链安全平台等工具快速检测是否引入受影响的包。
  2. 立即移除受影响包:
    若已安装列表中的恶意包,立即执行 npm uninstall <包名>,并删除node_modules和package-lock.json后重新安装依赖。
  3. 全面检查系统安全:
    运行杀毒软件扫描,检查是否有异常进程、网络连接(重点关注境外 IP 通信),排查环境变量、配置文件是否被窃取(如数据库密码、API 密钥等),必要时重置敏感凭证。
  4. 加强依赖管理规范:
  • 仅从官方 NPM 源安装组件,避免使用第三方镜像或未知来源的包。
  • 使用npm audit、yarn audit定期检查依赖漏洞。
  • 限制package.json中依赖的版本范围(如避免*或latest),优先选择下载量高、社区活跃的成熟组件。
  • 集成墨菲安全软件供应链安全平台等工具自动监控风险。

一键自动排查全公司此类风险

墨菲安全为您免费提供一键排查全公司开源组件漏洞&投毒风险服务,可一键接入扫描全公司的代码仓库、容器镜像仓库、主机、制品仓库等。

试用地址:https://www.murphysec.com/adv?code=9VL5

提交漏洞情报:https://www.murphysec.com/bounty

关于本次投毒的分析

  • 包名:@ivy-shared-components/iconslibrary@99.99.99
    攻击目标:Ivy公司内部项目
    理由:包名含"@ivy-shared-components",推测为Ivy内部共享组件库,主要影响其使用该图标库的内部项目。

  • 包名:ado-codespaces-auth@1.0.0
    攻击目标:Azure DevOps/GitHub Codespaces项目
    理由:"ado"指向Azure DevOps,"codespaces"关联GitHub Codespaces,攻击认证相关项目窃取环境信息。

  • 包名:ringcentral-google-drive-notification-add-in@2.2.2
    攻击目标:RingCentral与Google Drive集成项目
    理由:明确为RingCentral-Google Drive集成插件,目标是使用该插件的企业集成项目。

  • 包名:okta-template-validator@99.99.99
    攻击目标:使用Okta的企业项目
    理由:关联Okta身份管理服务,针对依赖其模板验证的企业项目,窃取主机信息威胁安全。

  • 包名:axio.js@1.0.0
    攻击目标:误安装的前端/Node.js项目
    理由:模仿知名HTTP库axios,诱导用户错误安装,窃取项目环境敏感信息。

  • 包名:@cbre-internal/mapping-component@99.9.0
    攻击目标:CBRE公司内部项目
    理由:"@cbre-internal"表明为CBRE内部组件,攻击其使用该地图组件的房地产相关项目。

  • 包名:blockchain-helper-lib@0.0.1
    攻击目标:区块链/加密货币项目
    理由:区块链辅助库,针对使用该库的区块链应用,窃取主机信息威胁项目安全。

  • 包名:eslint-config-ivy@99.99.99
    攻击目标:Ivy公司开发项目
    理由:Ivy公司ESLint配置包,影响采用该配置的内部开发项目,窃取开发环境信息。

墨菲安全
关注
博客
Google Chrome V8< 14.0.221 类型混淆漏洞
07-23 894
CVE-2025-8011是Google Chrome V8引擎的高危类型混淆漏洞,因Maglev编译器内联逻辑缺少边界检查,内联函数过多致InliningId整数溢出,损坏SourcePosition元数据,反优化时引发类型混淆。影响V8<14.0.221、Chrome/Chromium<138.0.7204.168。修复需升级至V8 14.0.221或Chrome 138.0.7204.168及以上,通过增加内联数量上限检查防止溢出。
博客
NPM组件 @lain-test-org/test-package 等窃取主机敏感信息
07-22 861
【高危】多个NPM组件(如@lain-test-org/test-package等)存在投毒风险,安装受影响版本时会窃取主机名、用户名、工作目录、IP地址等敏感信息并发送至攻击者服务器。影响范围包括react-type-next、pmcrypto、fxa-setting等30余个组件,部分版本跨度大(如pmcrypto [0.1.0, 99.99.99])。漏洞利用成本低、可能性中,强烈建议立即排查移除恶意包,全面检查系统安全,加强依赖管理。
博客
NPM组件 function-flag 等内嵌恶意木马
07-20 286
【高危】NPM组件function-flag(2.3.4-4.0.0)、function-string(3.0.0)等版本存在恶意投毒。用户安装后会下载执行svchost.exe木马,导致攻击者窃取主机信息并实施远控。漏洞利用成本低、可能性中,影响使用相关组件的Node.js项目。建议立即排查移除受影响包,扫描系统异常进程及网络连接,重置敏感凭证,并加强依赖管理,仅使用官方源及成熟组件。
博客
NPM组件 function-flag 等内嵌恶意木马
07-19 393
NPM组件function-flag(2.3.4-4.0.0)、function-string(3.0.0)等版本被植入恶意木马,用户安装后会下载执行svchost.exe,导致攻击者窃取主机信息并实施远控。该漏洞高危,利用成本低、可能性中。处置建议:立即卸载受影响包,删除node_modules及package-lock.json后重装依赖;全面扫描系统排查异常进程与网络连接,重置敏感凭证;加强依赖管理,仅使用官方源,定期审计依赖。
博客
PyPI仓库 crto0 组件内嵌信息窃取木马
07-18 418
PyPI仓库crto组件1.0.7版本内嵌信息窃取木马,用户安装后会从攻击者可控Github地址下载执行恶意程序,窃取Windows系统信息(用户信息、截图、摄像头、硬盘等)、Discord账户、浏览器数据(密码、Cookie、信用卡信息等)及钱包、游戏启动器敏感数据并发送至攻击者服务器。利用成本低,建议立即移除受影响包,全面检查系统安全,加强依赖管理,仅从官方源安装组件。
博客
WPS文档中心及文档中台远程命令执行漏洞
07-18 1200
WPS文档中心(7.0.2306b至7.0.2405b前版本)及文档中台(6.0.2205至7.1.2405前版本)的2024年5月前docker私有化部署实例存在严重远程命令执行漏洞。攻击者可未授权访问接口获取AK/SK密钥,进而修改K8s配置添加路由映射,通过特定接口执行命令。利用可能性高且有POC,建议立即升级至文档中心7.0.2405b、中台7.1.2405及以上版本,同时阻断相关接口未授权访问并轮换密钥。
博客
PyPI仓库 iscc-flag 组件内嵌恶意木马
07-17 266
【高危】PyPI仓库iscc-flag(0.0.1版)及anku2-rce(0.0.1-0.0.2版)组件被植入恶意代码,安装后下载run.bat木马,窃取Windows系统敏感信息并远控。漏洞利用成本低、可能性中,建议立即排查移除受影响包,扫描系统异常进程与网络连接,重置敏感凭证,加强依赖管理,仅从官方源安装组件并定期审计依赖。
博客
Node.js Windows下路径遍历漏洞
07-17 697
Node.js Windows路径遍历高危漏洞(CVE-2025-27210)存在于Windows系统下,攻击者可利用Windows保留设备名(如AUX、CON、PRN等)绕过path.join的路径遍历保护,通过构造特殊路径(如..\\..\\AUX\\..\\..\\target.txt)访问敏感文件。受影响版本包括Node.js 20.0-20.19.3、22.0-22.17.0、24.0-24.4.0。修复版本通过添加保留设备名黑名单处理,建议升级至20.19.4、22.17.1或24.4.1及以上
博客
Google Chrome V8< 13.6.86 类型混淆漏洞
07-16 840
Google Chrome V8引擎(<13.6.86)及Chrome浏览器(<136.0.7075.0)存在高危类型混淆漏洞。因Turboshaft编译器负载消除优化忽略内存分配触发GC的副作用,重用已被GC修改的对象类型信息所致。攻击者可伪造ConsString对象触发越界写入,覆盖数组长度获取任意地址读写能力,最终实现RCE。修复版本移除LoopPeelingPhase及相关标志,建议升级V8至13.6.86+、Chrome至136.0.7075.0+。
博客
Google Chrome V8< 13.6.86 类型混淆漏洞
07-15 400
Google Chrome V8引擎<13.6.86存在高危类型混淆漏洞,因Turboshaft编译器负载消除优化忽略内存分配触发GC的副作用,重用被GC修改的对象类型信息。攻击者可伪造长度错误的ConsString对象,在扁平化操作时触发越界写入,覆盖数组长度实现任意地址读写,最终导致RCE。影响V8<13.6.86、Chromium/Chrome<136.0.7075.0。修复需升级至对应版本,移除LoopPeelingPhase及相关标志。
博客
契约锁电子签章系统 pdfverifier 远程代码执行漏洞
07-14 636
契约锁电子签章系统pdfverifier接口存在高危远程代码执行漏洞。该接口处理OFD文件(ZIP格式)时未校验文件名路径,攻击者可构造含../的恶意压缩包,通过路径穿越写入WebShell。2025年5月6日发布的1.3.2补丁添加路径校验机制,拦截路径穿越符号。影响版本为[4.0.0,4.3.7]及[4.3.8,5.3.0],利用成本低、可能性极高,存在POC。建议升级至1.3.2及以上补丁版本修复。
博客
NPM组件 @blocks-shared/atom-panel 等窃取主机敏感信息
07-13 324
NPM组件投毒漏洞(MPS-8htd-4bis)影响@blocks-shared/atom-panel等超70个包,安装后窃取主机名、用户名、工作目录、IP地址等敏感信息并发送至攻击者服务器。受影响版本含nbastatsleftnav [1.0.0,99.0.1]、casino2025 1.1.20等,多数无修复版本。利用成本低,建议立即排查卸载恶意包,删除node_modules及package-lock.json后重装依赖,扫描系统异常并重置敏感凭证,加强依赖管理。
博客
契约锁电子签章系统 pdfverifier 远程代码执行漏洞
07-13 432
契约锁电子签章系统pdfverifier接口存在高危远程代码执行漏洞。该接口处理OFD文件(ZIP格式)时未校验文件名路径合法性,攻击者可构造含../的恶意压缩包条目,解压时写入服务器任意路径,实现WebShell上传与远程代码执行。影响版本为[4.0.0,4.3.7]及[4.3.8,5.3.0]。2025年5月6日发布的1.3.2补丁引入路径校验机制,拦截含../的文件条目。漏洞利用成本低、可能性极高,存在POC,建议用户立即升级至1.3.2及以上安全补丁。
博客
NPM组件 @blocks-shared/atom-panel 等窃取主机敏感信息
07-12 508
NPM组件@blocks-shared/atom-panel等被投毒,安装后会窃取主机名、用户名、工作目录、IP地址等敏感信息并发送至攻击者服务器。影响nbastatsleftnav、ltiditest等多个组件,受影响版本范围广且无最小修复版本。漏洞利用成本低、可能性中,属高危风险。建议立即排查并卸载受影响包,删除node_modules及package-lock.json后重装依赖,同时全面检查系统安全,重置敏感凭证。
博客
NPM组件 @frontend-clients/wallet-web 等窃取主机敏感信息
07-11 503
NPM组件@frontend-clients/wallet-web等存在高危投毒漏洞,安装时会窃取主机名、用户名、工作目录、IP地址等敏感信息并发送至攻击者服务器。影响dependabot-ruleset-runner、yoomoney-github-landing等30余个组件特定版本,利用成本低,可能性中。建议立即排查并卸载受影响包,删除依赖文件后重装,全面检查系统安全,加强依赖管理规范。
博客
Chrome拓展 Video Speed Controller 等内嵌恶意后门
07-10 873
【高危】多款Chrome拓展(含Video Speed Controller相关)被植入恶意后门,可窃取用户浏览链接,与攻击者C2服务器建立持久连接,并强制浏览器重定向至恶意网站。受影响拓展涉及多个ID版本(如eckokfcjbjbgjifpcbdmengnabecdakp≤1.0.11等),利用成本低,风险等级高。建议立即排查并移除受影响拓展,全面检查系统安全。
博客
泛微e-cology < 10.76 前台SQL注入漏洞
07-10 689
泛微e-cology <10.76版本存在高危前台SQL注入漏洞。攻击者可未授权通过/api/doc/out/more/list接口注入恶意SQL至Redis,再经/api/ec/dev/table/counts接口执行,导致未授权SQL注入,可能进一步写入Webshell实现远程代码执行。影响版本为(-∞,10.76),建议立即升级至10.76及以上版本。应急可通过WAF阻断涉事接口、加强参数校验、限制Redis访问缓解风险。
博客
NPM组件 n8n-nodes-zalo-tools-vts 等窃取主机敏感信息
07-08 299
NPM组件n8n-nodes-zalo-tools-vts(0.0.1-0.0.6版本)及ass-frontend 1.0.0存在投毒风险,安装后会窃取主机名、用户名、工作目录、IP等敏感信息并发送至攻击者服务器。漏洞利用成本低,可能性中,属高危。建议立即排查并卸载受影响包,删除node_modules和package-lock.json后重装依赖,全面检查系统安全,加强依赖管理规范。
博客
Redis hyperloglog 越界写入导致远程代码执行漏洞
07-08 3286
CVE-2025-32023是Redis HyperLogLog组件的高危远程代码执行漏洞。由于解析稀疏编码数据时未验证操作码运行长度,导致整数溢出及堆越界写入。影响Redis 8.0.0-8.0.2、2.8-6.2.18、7.4.0-7.4.4、7.2.0-7.2.9版本,利用可能性高且存在POC。修复版本通过增加溢出检测标志位阻断越界操作,建议受影响用户升级至8.0.3+、6.2.19+、7.4.5+或7.2.10+,并限制服务访问来源。
博客
NPM组件包 json-cookie-csv 等窃取主机敏感信息
07-07 512
NPM组件包json-cookie-csv等存在高危投毒漏洞,安装受影响版本后会窃取主机名、用户名、工作目录、IP地址等敏感信息并发送至攻击者服务器。涉及token-renewal、graphql-commons、canonical-bridge-ui等20余个组件的特定版本,目前无最小修复版本。利用成本低、可能性中,强烈建议立即排查并移除受影响包,删除node_modules及package-lock.json后重装依赖,全面检查系统安全,加强依赖管理,仅使用官方源并限制版本范围。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值