NPM组件 @lain-test-org/test-package 等窃取主机敏感信息

【高危】NPM组件 @lain-test-org/test-package 等窃取主机敏感信息

漏洞描述

当用户安装受影响版本的 @lain-test-org/test-package 等NPM组件包时会窃取用户的主机名、用户名、工作目录、IP地址等信息并发送到攻击者可控的服务器地址。

MPS编号MPS-7xqh-0t6i
处置建议强烈建议修复
发现时间2025-07-22
投毒仓库npm
投毒类型暂无
利用成本
利用可能性

影响范围

影响组件受影响的版本最小修复版本
react-type-next[0.1.0, 0.1.1]-
fxa-setting[1.0.0, 1.0.0]-
get-latest-workflow-artifact[1.0.0, 1.0.0]-
dsf-api[0.0.21, 0.0.25]-
pmcrypto[0.1.0, 99.99.99]-
poc24343fc[0.1.0, 0.1.0]-
google-login-flow[13.3.7, 13.3.7]-
react-headers[5.0.0, 5.1.2]-
react-on-liferay[7.7.7, 7.7.7]-
glints-js-sdk[7.7.7, 7.7.8]-
react-typexs[0.1.0, 0.1.0]-
dewiz-xyz[0.2.1, 0.2.1]-
shopify-css-import[1.0.0, 1.0.1]-
scenes-devtools[1.0.0, 1.0.0]-
mimelib2[1.0.0, 1.0.1]-
login-oauth[13.3.7, 13.3.7]-
dc-dependencyv[1.0.0, 1.0.0]-
safe-chain-test[1.0.0, 1.0.2]-
vue4-google-auth[13.3.7, 13.3.7]-
omulamuzi[1.0.0, 1.0.0]-
scenes-e2e[1.0.0, 1.0.0]-
dewiz-xyz-protego[0.2.2, 0.2.2]-
axr-smart-contracts[1.0.0, 12.12.12]-
scenes-testing[1.0.0, 1.0.0]-
sha256-validator-pack[1.3.2, 1.3.4]-
grafana-scenes-ml[1.0.0, 1.0.0]-
vite-simpleparse[1.0.0, 1.0.0]-
ochot-odong[1.0.0, 1.0.0]-
metaoffice-documentation[7.7.7, 7.7.7]-
scenes-core[1.0.0, 1.0.0]-
@lain-test-org/test-package[1.0.0, 6.6.6]-
kalyet-were[1.0.0, 1.0.0]-
@lain-test-org/test-package2[1.0.1, 1.0.1]-
ochot[1.0.0, 1.0.0]-
creator-portal-web[1.0.15002, 1.0.17165]-
react-typex[0.1.0, 0.1.0]-
dependabot-auto-triage[1.0.0, 1.0.0]-
sha256-pack[1.3.4, 1.3.4]-
lint-pr-title[1.0.0, 1.0.0]-
aws-iot-twinmaker-grafana-utils[1.0.0, 1.0.0]-

参考链接

https://www.oscs1024.com/hd/MPS-7xqh-0t6i

安全处理建议

  1. 排查是否安装了受影响的包:
    使用墨菲安全软件供应链安全平台等工具快速检测是否引入受影响的包。
  2. 立即移除受影响包:
    若已安装列表中的恶意包,立即执行 npm uninstall <包名>,并删除node_modules和package-lock.json后重新安装依赖。
  3. 全面检查系统安全:
    运行杀毒软件扫描,检查是否有异常进程、网络连接(重点关注境外 IP 通信),排查环境变量、配置文件是否被窃取(如数据库密码、API 密钥等),必要时重置敏感凭证。
  4. 加强依赖管理规范:
  • 仅从官方 NPM 源安装组件,避免使用第三方镜像或未知来源的包。
  • 使用npm audit、yarn audit定期检查依赖漏洞。
  • 限制package.json中依赖的版本范围(如避免*或latest),优先选择下载量高、社区活跃的成熟组件。
  • 集成墨菲安全软件供应链安全平台等工具自动监控风险。

一键自动排查全公司此类风险

墨菲安全为您免费提供一键排查全公司开源组件漏洞&投毒风险服务,可一键接入扫描全公司的代码仓库、容器镜像仓库、主机、制品仓库等。

试用地址:https://www.murphysec.com/adv?code=H3HN

提交漏洞情报:https://www.murphysec.com/bounty

关于本次投毒的分析

  • 包名:@lain-test-org/test-package@[1.0.0, 6.6.6]
    攻击目标:依赖该测试包的组织内部项目
    理由:包名含"lain-test-org",可能被组织内部测试项目依赖,窃取敏感信息影响内部系统。

  • 包名:pmcrypto@[0.1.0, 99.99.99]
    攻击目标:依赖加密组件的安全相关项目
    理由:包名含"crypto",可能模仿加密库,广泛被安全项目依赖以窃取加密场景敏感信息。

  • 包名:fxa-setting@[1.0.0, 1.0.0]
    攻击目标:Firefox Accounts相关组件
    理由:"fxa"可能指向Firefox Accounts,目标为其账户设置组件,窃取用户账户信息。

  • 包名:creator-portal-web@[1.0.15002, 1.0.17165]
    攻击目标:创作者门户应用用户
    理由:名称明确指向创作者门户,攻击安装该包的门户应用,窃取创作者主机敏感信息。

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值