【安全通知】NPM遭遇供应链投毒攻击窃取K8S集群凭证

文｜腾讯洋葱反入侵系统

七夜、xnianq、柯南

近日，腾讯洋葱反入侵系统检测发现 NPM官方仓库被上传了radar-cms 恶意包，并通知官方仓库下架处理。由于国内开源镜像站均同步于NPM官方仓库，所以该问题不仅会通过官方仓库，还可能通过各个开源镜像站影响广大用户。

腾讯安全应急响应中心（TSRC）秉承共建安全生态的原则，在此建议各开源镜像站以及对开源镜像站有依赖的组织和公司，请尽快自查处理，确保恶意库得到清除，保障用户安全。

0x01 事件描述

12月23号 03:32 攻击者在NPM官方仓库上传了radar-cms 恶意包(https://www.npmjs.com/package/radar-cms)，包代码和主页完全复制TypeChain 正常包，有可能是为了绕过信誉检查，目前已下载40余次。

0x02 手法分析

radar-cms包 恶意功能触发方式相对常见，在package.json 中的postinstall字段添加了一段恶意命令，功能是在安装radar-cms包时，窃取 kubeconfig文件，kerberos凭据，/etc/passwd，/etc/hosts等敏感文件。

其中 kubeconfig 文件 是用于配置k8s集群访问信息的文件。在开启了 TLS 的集群中，每次与集群交互时都需要身份认证，生产环境一般使用证书进行认证，其认证所需要的信息会放在 kubeconfig 文件中。此外，k8s 的组件都可以使用 kubeconfig 连接 apiserver，client-go 、operator、helm 等其他组件也使用 kubeconfig 访问 apiserver。

相比于之前发现的多起NPM投毒案例，此次投毒的目的有些许变化，此前投毒以控制主机为主要目的，而此次更加倾向于攻击云原生基础设施，窃取关键配置文件，这可能与云原生的火热发展有关。

0x03 相关IoC

域名：

entfet95itcxpuu.m.pipedream.net

0x04 尾声

近几年脚本语言社区因管控薄弱、攻击成本低成为软件供应链攻击的重灾区，到目前为止，腾讯洋葱反入侵系统已经发现多起严重的软件源投毒事件，并向业界提前发出通知。

【安全通知】PyPI 官方仓库遭遇covd恶意包投毒

【安全通知】PyPI 官方仓库遭遇request恶意包投毒

【安全通知】腾讯洋葱反入侵系统检测到多例恶意Python库供应链投毒

【安全通知】知名端口转发工具rinetd遭高仿投毒

同时，我们秉承共建安全生态的原则，主动向外界分享了洋葱反入侵系统针对软件源投毒场景的检测方案。

源头之战，不断升级的攻防对抗技术 —— 软件供应链攻击防御探索

兵无常势，水无常形，黑客投毒的手法越来越隐蔽，攻防对抗的难度也随之不断升级，唯有一直紧跟技术发展趋势，持续不断进阶，才能在安全攻防对抗中取得先机。

0x05 洋葱反入侵系统介绍

洋葱端点检测与响应系统（EDR）是腾讯公司以腾讯百万级服务器端点防护体系为核心面向企业客户提供的一套服务器端点安全解决方案，方案由轻量级的端点agent和服务管理端系统构成。

洋葱EDR管理系统支持集中的资产管理、安全入侵事件监测、安全审计、安全漏洞、安全基线等，支持对安全事件的精准判断，对服务器安全事件的溯源审计，并进行服务器端的脆弱性安全检测，包含安全基线，安全漏洞检测。

洋葱EDR产品也支持提供API接口，实现外联第三方防护安全产品的联动响应处置。从而构建云+端的新一代的纵深防护体系。