在一場大規(guī)模的軟件供應(yīng)鏈攻擊中，一名密碼竊取者被發(fā)現(xiàn)通過 ChromePass 從 Windows 系統(tǒng)上的 Chrome 竊取憑據(jù)。

[[413124]]

ChromePass 是一款適用于 Windows 的小型密碼恢復(fù)工具，可用于查看 Chrome 瀏覽器存儲的用戶名和密碼。對于每項密碼條目，將顯示以下信息：源 URL、操作 URL、用戶名字段、密碼字段、用戶名、密碼和創(chuàng)建時間。它允許使用者從當(dāng)前運行的系統(tǒng)或存儲在外部驅(qū)動器上的用戶配置文件中獲取密碼。

研究人員發(fā)現(xiàn)，在 npm 的開源代碼倉庫中存在一個使用合法密碼恢復(fù)工具的憑據(jù)竊取代碼炸彈，它潛伏在倉庫中，以伺機(jī)植入到從該源提取代碼的龐大應(yīng)用程序中。

研究人員發(fā)現(xiàn)被滲透的 npm 倉庫會被植入惡意軟件，該惡意軟件會從 Windows 系統(tǒng)上的 Chrome 瀏覽器中竊取憑據(jù)。該密碼竊取器具有多種功能：監(jiān)聽來自攻擊者的命令和控制 (C2) 服務(wù)器的傳入命令，并能上傳文件，從受害者的屏幕和攝像頭中進(jìn)行記錄，以及執(zhí)行 shell 命令。

據(jù)介紹，主要威脅來自 nodejs_net_server 和 temptesttempfile 這兩個軟件包。通過靜態(tài)分析，研究人員在 nodejs_net_server 包的多個版本中發(fā)現(xiàn)了 Win32.Infostealer.Heuristics 文件。它的元數(shù)據(jù)顯示該文件的原始名稱是"a.exe"，位于 "lib" 文件夾內(nèi)。研究人員指出，帶有類似擴(kuò)展名的單字母文件名會向威脅獵人發(fā)出危險信號。原來，a.exe 正是是上文提到的 ChromePass：一種用于恢復(fù)存儲在 Chrome 瀏覽器中的密碼的合法工具。

nodejs_net_server 軟件包的作者并不是一開始就在里面植入了竊取密碼的程序，研究人員發(fā)現(xiàn)，作者通過 12 個版本增強了 nodejs_net_server 軟件包，直到去年 12 月使用腳本對其進(jìn)行升級，以植入密碼竊取程序。

研究人員于 7 月 2 日聯(lián)系了 npm 安全團(tuán)隊，告知他們其倉庫存在安全威脅的軟件包。不過直到這些軟件包才被刪除。

最后，作為 Web 開發(fā)者，你對于使用 npm 軟件包有什么建議?還是堅持只使用自己編寫的代碼，不引入任何第三方包?

本文轉(zhuǎn)自O(shè)SCHINA

本文標(biāo)題：npm 倉庫被滲透，可利用 Chrome 的賬戶恢復(fù)工具竊取密碼

本文地址：https://www.oschina.net/news/152135/npm-package-steals-chrome-passwords