【高危】NPM組件 @angular_devkit/core 等竊取主機敏感信息
漏洞描述
當用戶安裝受影響版本的 @angular_devkit/core 等NPM組件包時會竊取用戶的主機名、用戶名、IP地址信息并發送到攻擊者可控的服務器地址。
| MPS編號 | MPS-1jf5-s6ix |
|---|---|
| 處置建議 | 強烈建議修復 |
| 發現時間 | 2025-08-14 |
| 投毒倉庫 | npm |
| 投毒類型 | 主機信息收集 |
| 利用成本 | 低 |
| 利用可能性 | 中 |
影響范圍
| 影響組件 | 受影響的版本 | 最小修復版本 |
|---|---|---|
| dagger-core | [13.8.9, 13.8.9] | - |
| device-intelligence | [9.9.9, 9.9.9] | - |
| advanced-korean-search | [1.0.0, 1.0.1] | - |
| mda-localise | [0.0.1, 9000.0.0] | - |
| sha256-validator-pro | [1.0.0, 1.0.5] | - |
| dependsalot | [99.0.0, 99.0.0] | - |
| microsoft-bonsai-api | [3.0.0, 9.9.9] | - |
| @identity-authn/authn-js-sdk | [9.9.9, 9.9.9] | - |
| d360-frontend | [0.1.0, 0.1.4] | - |
| @baipiaodajun/podman_env | [1.0.0, 1.0.2] | - |
| intel-quantum-sdk | [1.5.1, 1.5.1] | - |
| @qbr-runway/tokens | [100.99.99, 100.99.99] | - |
| solana-bot-sdk | [1.1.0, 1.1.0] | - |
| stellion-vidaxl-sdk | [13.8.9, 13.8.9] | - |
| microsoft.azure.cognitiveservices.search.visualsearch | [9.9.9, 9.9.9] | - |
| dependyman | [99.0.0, 99.0.0] | - |
| etherres | [6.15.0, 6.15.0] | - |
| verizon-media-open-source-project-protal | [1.0.0, 2.0.1] | - |
| tailwindcss-theme-custom | [0.0.1, 0.0.1] | - |
| sha256-validation-package | [0.0.0, 0.0.0] | - |
| d360-strapi | [0.1.0, 0.1.0] | - |
| mint-backend | [1.0.0, 2.0.1] | - |
| ryuzakil | [1.0.0, 1.0.0] | - |
| pydantic-settings | [13.8.9, 13.8.9] | - |
| facebook-for-woocommerce | [3.6.6, 3.6.6] | - |
| thrivent-bank-wp | [1.2.2, 1.2.4] | - |
| my-internal-util-alpha03 | [99.9.9, 99.9.12] | - |
| utilioep | [7.3.2, 7.3.2] | - |
| abi-pack-framework | [7.7.7, 7.7.7] | - |
| recoil-shared | [1.0.0, 1.0.2] | - |
| pentest-event-emitter | [0.3.6, 0.3.9] | - |
| d360-web | [0.1.0, 0.1.0] | - |
| epc-node-web-client | [1.0.1, 10.0.0] | - |
| fluxible-minimal-example | [1.0.0, 3.0.1] | - |
| multisender-smart-contract | [7.7.7, 7.7.7] | - |
| azure-documentdb-node | [9.9.9, 9.9.9] | - |
| ui_test_automation | [1.0.0, 7.7.7] | - |
| tailwindcss-themers | [0.0.1, 0.0.1] | - |
| dependerable | [99.0.0, 99.0.0] | - |
| microsoft-cloud-integrations | [1.9.1, 1.9.1] | - |
| @hoyowave/jsapi | [1.0.0, 19.9.0] | - |
| web-tv-app | [10.0.0, 10.0.0] | - |
| vite-tsconfig-optimized | [2.6.6, 2.6.6] | - |
| @angular_devkit/core | [99.1.1, 99.1.1] | - |
| dolomite-liquidator-subgraph | [7.7.7, 7.7.7] | - |
| @lumenlabs/lumen-tools | [1.0.0, 1.0.0] | - |
參考鏈接
https://www.oscs1024.com/hd/MPS-1jf5-s6ix
安全處理建議
- 排查是否安裝了受影響的包:
使用墨菲安全軟件供應鏈安全平臺等工具快速檢測是否引入受影響的包。 - 立即移除受影響包:
若已安裝列表中的惡意包,立即執行 npm uninstall <包名>,并刪除node_modules和package-lock.json后重新安裝依賴。 - 全面檢查系統安全:
運行殺毒軟件掃描,檢查是否有異常進程、網絡連接(重點關注境外 IP 通信),排查環境變量、配置文件是否被竊取(如數據庫密碼、API 密鑰等),必要時重置敏感憑證。 - 加強依賴管理規范:
- 僅從官方 NPM 源安裝組件,避免使用第三方鏡像或未知來源的包。
- 使用npm audit、yarn audit定期檢查依賴漏洞。
- 限制package.json中依賴的版本范圍(如避免*或latest),優先選擇下載量高、社區活躍的成熟組件。
- 集成墨菲安全軟件供應鏈安全平臺等工具自動監控風險。
一鍵自動排查全公司此類風險
墨菲安全為您免費提供一鍵排查全公司開源組件漏洞&投毒風險服務,可一鍵接入掃描全公司的代碼倉庫、容器鏡像倉庫、主機、制品倉庫等。
試用地址:https://www.murphysec.com/adv?code=XZW2
提交漏洞情報:https://www.murphysec.com/bounty
關于本次投毒的分析
-
包名:@angular_devkit/core@99.1.1
攻擊目標:Angular相關項目
理由:仿冒Angular開發工具包核心組件@angular-devkit/core,誘導開發者誤裝,竊取其開發環境主機信息。 -
包名:microsoft-bonsai-api@[3.0.0,9.9.9]
攻擊目標:微軟Bonsai服務用戶
理由:仿冒微軟Bonsai API包,針對使用Bonsai AI平臺的開發者,收集主機敏感信息。 -
包名:solana-bot-sdk@1.1.0
攻擊目標:Solana生態機器人項目
理由:針對Solana區塊鏈機器人開發工具,影響依賴該SDK的自動交易或管理工具。 -
包名:facebook-for-woocommerce@3.6.6
攻擊目標:WooCommerce電商網站
理由:仿冒Facebook與WooCommerce集成插件,竊取電商服務器信息,影響在線商店。 -
包名:microsoft.azure.cognitiveservices.search.visualsearch@9.9.9
攻擊目標:Azure認知服務用戶
理由:仿冒微軟Azure視覺搜索SDK,針對使用認知服務的應用,收集主機信息。
技術的發展歷史)
)
)
