【高危】NPM組件 querypilot 等竊取主機敏感信息
漏洞描述
當用戶安裝受影響版本的 querypilot 等NPM組件包時會竊取用戶的主機名、用戶名、工作目錄、IP地址等信息并發送到攻擊者可控的服務器地址。
| MPS編號 | MPS-2kgq-v17b |
|---|---|
| 處置建議 | 強烈建議修復 |
| 發現時間 | 2025-07-05 |
| 投毒倉庫 | npm |
| 投毒類型 | 主機信息收集 |
| 利用成本 | 低 |
| 利用可能性 | 中 |
影響范圍
| 影響組件 | 受影響的版本 | 最小修復版本 |
|---|---|---|
| @vapc-ui/font-icon | [0.9.9, 6.9.9] | - |
| @indigo-mobile/material | [1.0.0, 5.0.2] | - |
| with-next-intl | [55.3.1, 55.3.1] | - |
| cmr-graphql | [1.0.0, 90.99.99] | - |
| confluence-inline-tasks | [1.0.0, 99.99.2] | - |
| @vapc-ui/search-box | [0.9.9, 6.9.9] | - |
| atlascode | [1.0.0, 90.99.99] | - |
| confluence-ui-components | [1.0.0, 99.99.2] | - |
| n8n-nodes-mtaitest-abc | [0.0.1, 0.0.8] | - |
| oauth2-bearer | [55.3.1, 55.3.1] | - |
| string-parser-utils | [1.0.0, 99.9.9] | - |
| @cpce/console-sub-app | [0.9.9, 6.9.9] | - |
| sentry-eslint-config-internal | [1.0.0, 99.99.99] | - |
| @pmm-ux/asset-uploader | [0.0.1, 19.0.0] | - |
| mre-config-react | [1.0.2, 1.0.4] | - |
| confluence-drag-and-drop | [1.0.0, 99.99.2] | - |
| sentry-bundler-plugin-dev | [98.99.99, 99.99.99] | - |
| plugin-meta-extractor | [1.0.0, 90.99.99] | - |
| protobufjs-websocket-example | [55.3.1, 55.3.1] | - |
| with-shadcn | [55.3.1, 55.3.1] | - |
| buzzwordcrm | [0.0.0, 1.0.0] | - |
| ca-ui-carbon-toolkit | [1.0.0, 99.99.2] | - |
| n8n-nodes-simple-alert | [1.0.1, 1.0.5] | - |
| @indigo-multi/fonts | [1.0.0, 5.0.2] | - |
| qqqdemo | [1.0.0, 1.0.0] | - |
| wev3 | [1.0.0, 1.0.0] | - |
| n8n-nodes-zalo-test | [0.0.1, 0.0.5] | - |
| baglass | [1.0.0, 99.99.2] | - |
| jsonlis-conf | [8.9.8, 8.9.8] | - |
| onramp-demo-mobile | [1.0.0, 90.99.99] | - |
| caglass | [1.0.0, 99.99.2] | - |
| jsonloggers | [8.9.6, 8.9.6] | - |
| @indigo-web/material | [2.4.0, 5.0.2] | - |
| wevv3311 | [1.0.0, 1.0.0] | - |
| super-alpha-api | [2.3.79-99, 2.3.79-99] | - |
| jsonli-conf | [8.9.6, 8.9.6] | - |
| n8n-nodes-zalo-tools-vietinsoft-v2 | [1.0.0, 1.0.25] | - |
| ai-app-foundation | [1.0.0, 90.99.99] | - |
| dot-net-interactive-kernels | [1.0.0, 90.99.99] | - |
| auth0-app | [55.3.1, 55.3.1] | - |
| base-x-v2 | [5.0.0, 5.0.3] | - |
| old-header-parser | [1.0.0, 99.99.9] | - |
| pranaybitstudio | [1.0.0, 1.1.5] | - |
| on-off-ramp-demo | [1.0.0, 90.99.99] | - |
| querypilot | [1.0.5, 1.0.5] | - |
| jsonskipy | [1.0.11, 1.0.11] | - |
| n8n-nodes-zalo-vts | [0.0.1, 0.0.2] | - |
| @super-alpha/api | [2.3.79-99, 2.3.81-99] | - |
參考鏈接
https://www.oscs1024.com/hd/MPS-2kgq-v17b
安全處理建議
- 排查是否安裝了受影響的包:
使用墨菲安全軟件供應鏈安全平臺等工具快速檢測是否引入受影響的包。 - 立即移除受影響包:
若已安裝列表中的惡意包,立即執行 npm uninstall <包名>,并刪除node_modules和package-lock.json后重新安裝依賴。 - 全面檢查系統安全:
運行殺毒軟件掃描,檢查是否有異常進程、網絡連接(重點關注境外 IP 通信),排查環境變量、配置文件是否被竊取(如數據庫密碼、API 密鑰等),必要時重置敏感憑證。 - 加強依賴管理規范:
- 僅從官方 NPM 源安裝組件,避免使用第三方鏡像或未知來源的包。
- 使用npm audit、yarn audit定期檢查依賴漏洞。
- 限制package.json中依賴的版本范圍(如避免*或latest),優先選擇下載量高、社區活躍的成熟組件。
- 集成墨菲安全軟件供應鏈安全平臺等工具自動監控風險。
一鍵自動排查全公司此類風險(申請免費使用)
墨菲安全為您免費提供一鍵排查全公司開源組件漏洞&投毒風險服務,可一鍵接入掃描全公司的代碼倉庫、容器鏡像倉庫、主機、制品倉庫等。
試用地址:https://www.murphysec.com/apply?code=OSUK
提交漏洞情報:https://www.murphysec.com/bounty
關于本次投毒的分析
-
包名:n8n-nodes-mtaitest-abc@[0.0.1, 0.0.8]
攻擊目標:n8n工作流項目
理由:屬n8n節點包,用戶安裝后用于自動化流程,可能竊取n8n用戶主機信息。 -
包名:confluence-ui-components@[1.0.0, 99.99.2]
攻擊目標:Confluence插件項目
理由:包名含"confluence",推測用于Confluence擴展開發,竊取相關開發者信息。 -
包名:@indigo-mobile/material@[1.0.0, 5.0.2]
攻擊目標:Indigo公司移動應用
理由:@indigo-mobile作用域指向Indigo移動端組件庫,影響其移動應用開發環境。 -
包名:sentry-eslint-config-internal@[1.0.0, 99.99.99]
攻擊目標:Sentry內部項目
理由:包名含"sentry"及"internal",可能針對Sentry開發團隊,竊取內部主機信息。
)
)
