NPM組件 @ivy-shared-components/iconslibrary 等竊取主機敏感信息

【高危】NPM組件 @ivy-shared-components/iconslibrary 等竊取主機敏感信息

漏洞描述

當用戶安裝受影響版本的 @ivy-shared-components/iconslibrary 等NPM組件包時會竊取用戶的主機名、用戶名、工作目錄、IP地址等信息并發送到攻擊者可控的服務器地址。

MPS編號	MPS-zh19-e78w
處置建議	強烈建議修復
發現時間	2025-07-15
投毒倉庫	npm
投毒類型	主機信息收集
利用成本	低
利用可能性	中

影響范圍

影響組件	受影響的版本	最小修復版本
@ivy-shared-components/iconslibrary	[99.99.99, 99.99.991]	-
ado-codespaces-auth	[1.0.0, 1.0.0]	-
ringcentral-google-drive-notification-add-in	[2.2.2, 2.2.2]	-
vss-web-auth-client	[1.0.0, 1.0.0]	-
finactivitiy-run	[2.0.0, 2.0.0]	-
okta-template-validator	[99.99.99, 99.99.99]	-
lezer-promql-tree-viz	[1.0.0, 1.0.0]	-
ai-gallery	[1.0.0, 1.0.0]	-
api-key-provider	[1.0.0, 1.0.0]	-
webvieweventtest	[1.0.0, 1.0.0]	-
jss-0.8.4	[1.0.0, 1.0.0]	-
axio.js	[1.0.0, 1.0.0]	-
ngf-attachments-list	[1.1.30, 1.1.32]	-
ai-audio-descriptions	[1.0.0, 1.0.0]	-
@cewe-designsystem/component_modal	[99.9.0, 99.9.0]	-
agent-configurator	[1.0.0, 1.0.0]	-
asios.js	[1.0.0, 1.0.0]	-
blockchain-helper-lib	[0.0.1, 0.0.8]	-
flpmonitor	[1.0.0, 1.0.0]	-
pxsceneui-example-03	[1.0.9, 3.0.2]	-
square-crypto-utils-internal	[1.0.0, 1.0.0]	-
grafana-strava-datasource	[1.0.0, 1.0.0]	-
boost-chii-90	[1.1.5, 1.1.5]	-
wrb3	[1.0.0, 1.0.0]	-
eslint-config-ivy	[99.99.99, 99.99.993]	-
acios.js	[1.0.0, 1.0.0]	-
public-tools-and-demos	[1.0.0, 1.0.1]	-
istio-feeder	[1.2.5, 1.2.5]	-
doctolib-appointment-finder	[2.1.4, 2.1.4]	-
shared-workflows	[1.0.0, 1.0.0]	-
dt-retag-lib	[1.0.0, 1.0.0]	-
codecops	[1.0.0, 1.3.0]	-
date-fns-2	[1.0.0, 1.0.0]	-
grafana-amazonprometheus-datasource	[1.0.0, 1.0.0]	-
lspushpage	[7.2.1, 7.2.2]	-
navigation-service	[1.0.0, 1.1.0]	-
shardeum-json-rpc	[2.0.0, 2.0.0]	-
ts-immutable-sdk	[0.0.0, 7.7.7]	-
@cbre-internal/mapping-component	[99.9.0, 99.9.0]	-
bk-card-cc-credit-limit-adjustment-ui	[9.9.9, 9.9.9]	-
scenes-ml-app	[1.0.0, 1.0.0]	-
ezer-promql-tree-viz	[1.0.0, 1.0.0]	-
wb3	[1.0.0, 1.0.0]	-
mydealer-service	[1.0.0, 2.1.0]	-
jet-os-detection	[1.9.4, 1.9.4]	-
mydealer-configuration-service	[1.0.0, 2.2.0]	-
mydealer-content-service	[1.0.0, 1.2.0]	-
artifact-registry-client	[99.99.99, 99.99.99]	-
azios.js	[1.0.0, 1.0.0]	-
course-config	[7.7.7, 7.7.7]	-
iron-github-io	[1.0.0, 1.0.0]	-
loki-release	[1.0.0, 1.0.0]	-
js-0.8.3	[1.0.0, 1.0.0]	-
ngf-attachment-item-view	[1.1.22, 1.1.23]	-
yandex-metrica	[50.50.50, 50.50.50]	-
mgzfakee	[1.0.0, 1.0.2]	-
@didi-pebble/pblint	[1.0.0, 99.9.0]	-
user-interaction-service	[1.0.0, 2.0.0]	-
appcenter-sampleapp-react-native	[1.0.0, 1.0.0]	-
ngf-gov-hr-navbar	[0.2.20, 0.2.20]	-
neolang-ui	[1.0.0, 1.0.0]	-
symphony-cryptolib	[99.9.0, 99.9.0]	-
community-pass-react-native-wrapper	[0.0.2, 1.0.0]	-
healthbottestservice	[1.0.0, 1.0.0]	-
bombora	[1.0.0, 1.0.0]	-
okta-ui-private-components	[1.0.0, 1.0.0]	-

參考鏈接

https://www.oscs1024.com/hd/MPS-zh19-e78w

安全處理建議

排查是否安裝了受影響的包：
使用墨菲安全軟件供應鏈安全平臺等工具快速檢測是否引入受影響的包。
立即移除受影響包：
若已安裝列表中的惡意包，立即執行 npm uninstall <包名>，并刪除node_modules和package-lock.json后重新安裝依賴。
全面檢查系統安全：
運行殺毒軟件掃描，檢查是否有異常進程、網絡連接（重點關注境外 IP 通信），排查環境變量、配置文件是否被竊取（如數據庫密碼、API 密鑰等），必要時重置敏感憑證。
加強依賴管理規范：

僅從官方 NPM 源安裝組件，避免使用第三方鏡像或未知來源的包。
使用npm audit、yarn audit定期檢查依賴漏洞。
限制package.json中依賴的版本范圍（如避免*或latest），優先選擇下載量高、社區活躍的成熟組件。
集成墨菲安全軟件供應鏈安全平臺等工具自動監控風險。

一鍵自動排查全公司此類風險

墨菲安全為您免費提供一鍵排查全公司開源組件漏洞&投毒風險服務，可一鍵接入掃描全公司的代碼倉庫、容器鏡像倉庫、主機、制品倉庫等。

試用地址：https://www.murphysec.com/adv?code=9VL5

提交漏洞情報：https://www.murphysec.com/bounty

關于本次投毒的分析

包名：@ivy-shared-components/iconslibrary@99.99.99
攻擊目標：Ivy公司內部項目
理由：包名含"@ivy-shared-components"，推測為Ivy內部共享組件庫，主要影響其使用該圖標庫的內部項目。
包名：ado-codespaces-auth@1.0.0
攻擊目標：Azure DevOps/GitHub Codespaces項目
理由："ado"指向Azure DevOps，"codespaces"關聯GitHub Codespaces，攻擊認證相關項目竊取環境信息。
包名：ringcentral-google-drive-notification-add-in@2.2.2
攻擊目標：RingCentral與Google Drive集成項目
理由：明確為RingCentral-Google Drive集成插件，目標是使用該插件的企業集成項目。
包名：okta-template-validator@99.99.99
攻擊目標：使用Okta的企業項目
理由：關聯Okta身份管理服務，針對依賴其模板驗證的企業項目，竊取主機信息威脅安全。
包名：axio.js@1.0.0
攻擊目標：誤安裝的前端/Node.js項目
理由：模仿知名HTTP庫axios，誘導用戶錯誤安裝，竊取項目環境敏感信息。
包名：@cbre-internal/mapping-component@99.9.0
攻擊目標：CBRE公司內部項目
理由："@cbre-internal"表明為CBRE內部組件，攻擊其使用該地圖組件的房地產相關項目。
包名：blockchain-helper-lib@0.0.1
攻擊目標：區塊鏈/加密貨幣項目
理由：區塊鏈輔助庫，針對使用該庫的區塊鏈應用，竊取主機信息威脅項目安全。
包名：eslint-config-ivy@99.99.99
攻擊目標：Ivy公司開發項目
理由：Ivy公司ESLint配置包，影響采用該配置的內部開發項目，竊取開發環境信息。

本文來自互聯網用戶投稿，該文觀點僅代表作者本人，不代表本站立場。本站僅提供信息存儲空間服務，不擁有所有權，不承擔相關法律責任。
如若轉載，請注明出處：http://www.pswp.cn/pingmian/89192.shtml
繁體地址，請注明出處：http://hk.pswp.cn/pingmian/89192.shtml
英文地址，請注明出處：http://en.pswp.cn/pingmian/89192.shtml

如若內容造成侵權/違法違規/事實不符，請聯系多彩編程網進行投訴反饋email:809451989@qq.com，一經查實，立即刪除！