【高危】NPM組件 nodemantle002 等竊取主機敏感信息

漏洞描述

當用戶安裝受影響版本的 nodemantle002 等NPM組件包時會竊取用戶的主機名、用戶名、工作目錄、IP地址等信息并發送到攻擊者可控的服務器地址。

MPS編號	MPS-qrk7-ayms
處置建議	強烈建議修復
發現時間	2025-07-04
投毒倉庫	npm
投毒類型	主機信息收集
利用成本	低
利用可能性	中

影響范圍

影響組件	受影響的版本	最小修復版本
lunasec-sdks	[55.3.1, 55.3.1]	-
lz-evm-sdk-v1	[2.9.90, 2.9.90]	-
node-log-streamer	[1.4.12, 1.4.12]	-
systemjs-builder-test	[55.3.1, 55.3.1]	-
definitelytyped-tools	[1.0.0, 99.99.98]	-
oft-evm	[7.1.1, 7.1.1]	-
rjs-test	[55.3.1, 55.3.1]	-
@emersonecologics/emerson-angular-trove	[99.99.99, 99.99.101]	-
nodemantle002	[2.3.1, 6.2.1]	-
baileys-cleaner	[1.0.0, 1.9.7]	-
what_type_of_self_indulgent_sub-par_challenge_is_this	[1.4.7, 1.4.9]	-
comcastapp	[1.3.6, 1.4.6]	-
nodestream-log	[1.0.12, 1.0.12]	-
@cognam/shared-project	[1.0.0, 1.0.61]	-
restpilot	[1.0.11, 1.0.11]	-
libramat283	[4.1.12, 4.1.12]	-
lz-evm-protocol-v2	[3.1.99, 3.1.99]	-
react-fixtures-ssr	[0.0.1, 55.3.1]	-
n8n-nodes-zalo-user-v2	[0.0.22, 0.0.28]	-
frontend-redux	[55.3.1, 55.3.1]	-
wevv9991	[1.0.0, 1.0.2]	-

參考鏈接

https://www.oscs1024.com/hd/MPS-qrk7-ayms

安全處理建議

1. 排查是否安裝了受影響的包：
   使用墨菲安全軟件供應鏈安全平臺等工具快速檢測是否引入受影響的包。
2. 立即移除受影響包：
   若已安裝列表中的惡意包，立即執行 npm uninstall <包名>，并刪除node_modules和package-lock.json后重新安裝依賴。
3. 全面檢查系統安全：
   運行殺毒軟件掃描，檢查是否有異常進程、網絡連接（重點關注境外 IP 通信），排查環境變量、配置文件是否被竊取（如數據庫密碼、API 密鑰等），必要時重置敏感憑證。
4. 加強依賴管理規范：

• 僅從官方 NPM 源安裝組件，避免使用第三方鏡像或未知來源的包。
• 使用npm audit、yarn audit定期檢查依賴漏洞。
• 限制package.json中依賴的版本范圍（如避免*或latest），優先選擇下載量高、社區活躍的成熟組件。
• 集成墨菲安全軟件供應鏈安全平臺等工具自動監控風險。

一鍵自動排查全公司此類風險（申請免費使用）

墨菲安全為您免費提供一鍵排查全公司開源組件漏洞&投毒風險服務，可一鍵接入掃描全公司的代碼倉庫、容器鏡像倉庫、主機、制品倉庫等。

試用地址：https://www.murphysec.com/apply?code=OSUK

提交漏洞情報：https://www.murphysec.com/bounty

關于本次投毒的分析

• 包名：nodemantle002@[2.3.1, 6.2.1]
  攻擊目標：安裝該包的開發者主機/項目
  理由：包名可能偽裝成工具庫，安裝后竊取主機敏感信息，直接影響使用該包的開發環境。

• 包名：lz-evm-sdk-v1@2.9.90
  攻擊目標：區塊鏈開發項目/開發者
  理由：含“evm-sdk”，可能用于以太坊開發，竊取開發者主機信息，定向影響區塊鏈相關項目。

• 包名：definitelytyped-tools@[1.0.0, 99.99.98]
  攻擊目標：TypeScript開發社區/項目
  理由：與DefinitelyTyped相關，用于TypeScript類型管理，竊取開發者信息，影響TypeScript生態項目。