【高危】NPM組件 alan-baileys 等竊取主機敏感信息
漏洞描述
當用戶安裝受影響版本的 alan-baileys 組件包時會竊取用戶的主機名、用戶名、工作目錄、IP地址等信息并發送到攻擊者可控的服務器地址。
| MPS編號 | MPS-wkyd-5v7r |
|---|---|
| 處置建議 | 強烈建議修復 |
| 發現時間 | 2025-07-02 |
| 投毒倉庫 | npm |
| 投毒類型 | 主機信息收集 |
| 利用成本 | 低 |
| 利用可能性 | 中 |
影響范圍
| 影響組件 | 受影響的版本 | 最小修復版本 |
|---|---|---|
| logflow-json | [2.4.12, 2.4.12] | - |
| bl2-js-report | [1.0.0, 1.1.3] | - |
| taskrouter-event-listener | [1.0.0, 1.0.0] | - |
| twilio-webchat-widget | [1.0.0, 1.0.0] | - |
| sudai | [1.0.0, 1.0.0] | - |
| airbnb-rootkit-wow | [1.0.0, 1.0.1] | - |
| ipmi-command | [1.0.0, 1.0.0] | - |
| n8n-nodes-social | [0.1.0, 1.0.0] | - |
| cameoconfig | [1.0.0, 7.7.7] | - |
| patient-appointment-management | [1.0.0, 1.0.0] | - |
| telehealth | [1.0.0, 1.0.0] | - |
| alan-baileys | [1.0.1, 1.0.1] | - |
| octo-translations | [7.7.7, 7.7.7] | - |
| wp-stream | [1.0.0, 1.0.0] | - |
| draw-with-twilio | [1.0.0, 1.0.0] | - |
| com.razer.chromasdk | [3.0.0, 4.0.0] | - |
| azure-sentinel | [1.0.0, 1.0.0] | - |
| json-log-stream | [0.1.0, 1.0.12] | - |
| plugin-notes | [1.0.0, 1.0.0] | - |
| karakeep | [1.0.0, 1.0.0] | - |
| fivetran-webhook-example-express | [7.7.7, 7.7.7] | - |
參考鏈接
https://www.oscs1024.com/hd/MPS-wkyd-5v7r
安全處理建議
- 排查是否安裝了受影響的包:
使用墨菲安全軟件供應鏈安全平臺等工具快速檢測是否引入受影響的包。 - 立即移除受影響包:
若已安裝列表中的惡意包,立即執行 npm uninstall <包名>,并刪除node_modules和package-lock.json后重新安裝依賴。 - 全面檢查系統安全:
運行殺毒軟件掃描,檢查是否有異常進程、網絡連接(重點關注境外 IP 通信),排查環境變量、配置文件是否被竊取(如數據庫密碼、API 密鑰等),必要時重置敏感憑證。 - 加強依賴管理規范:
- 僅從官方 NPM 源安裝組件,避免使用第三方鏡像或未知來源的包。
- 使用npm audit、yarn audit定期檢查依賴漏洞。
- 限制package.json中依賴的版本范圍(如避免*或latest),優先選擇下載量高、社區活躍的成熟組件。
- 集成墨菲安全軟件供應鏈安全平臺等工具自動監控風險。
一鍵自動排查全公司此類風險(申請免費使用)
墨菲安全為您免費提供一鍵排查全公司開源組件漏洞&投毒風險服務,可一鍵接入掃描全公司的代碼倉庫、容器鏡像倉庫、主機、制品倉庫等。
試用地址:https://www.murphysec.com/apply?code=OSUK
提交漏洞情報:https://www.murphysec.com/bounty
關于本次投毒的分析
-
包名:alan-baileys@1.0.1
攻擊目標:Baileys相關聊天應用
理由:名稱含"baileys",可能偽裝成WhatsApp API庫Baileys的依賴,竊取用戶信息。 -
包名:logflow-json@2.4.12
攻擊目標:日志處理應用
理由:名稱含"logflow",推測用于日志流處理,影響依賴日志功能的項目。 -
包名:twilio-webchat-widget@1.0.0
攻擊目標:Twilio WebChat集成應用
理由:包名直接關聯Twilio WebChat組件,定向影響集成該功能的應用。 -
包名:n8n-nodes-social@[0.1.0,1.0.0]
攻擊目標:n8n工作流用戶
理由:作為n8n社交節點插件,目標是使用該節點進行社交集成的n8n用戶。 -
包名:azure-sentinel@1.0.0
攻擊目標:Azure Sentinel集成項目
理由:包名關聯微軟云安全工具Azure Sentinel,影響其相關集成項目。 -
包名:com.razer.chromasdk@[3.0.0,4.0.0]
攻擊目標:Razer Chroma SDK用戶
理由:針對Razer設備燈光控制SDK,影響使用該SDK的游戲或應用開發者。 -
包名:octo-translations@7.7.7
攻擊目標:GitHub相關翻譯項目
理由:"octo"可能關聯GitHub,偽裝翻譯包,竊取使用該翻譯功能的項目信息。 -
包名:wp-stream@1.0.0
攻擊目標:WordPress stream功能項目
理由:"wp"指向WordPress,目標是使用stream功能的WordPress插件或應用。
Android的開源音視頻剪輯框架RxFFmpeg)
)
發送郵件、定時以及CMD編程)
