3个携带挖矿程序的恶意NPM软件包曝光，支持多平台上运行

最近的安全研究披露，上传到官方 NPM 包存储库的三个 JavaScript 库已被确定为加密货币挖矿恶意软件，再次证明了通过开源软件包存储库进行软件供应链攻击的有效性，会受到越来越多的恶意攻击者的利用。

有问题的恶意软件包名称分别为okhsa、klow和klown，由同一个开发者发布，并声称是基于 JavaScript 的用户代理字符串解析器，旨在从“用户代理”HTTP 标头中提取硬件细节。但在导入它们的受害者不知情的情况下，将加密货币挖矿恶意软件隐藏在库中。

目前，该恶意软件开发者的 NPM 帐户已被停用，截至 2021 年 10 月 15 日，所有三个库共被下载近200次，目前都已从存储库中删除。

根据网络安全行业门户极牛网JIKENB.COM的梳理，涉及这三个库的攻击通过检测当前操作系统来工作，然后运行 .bat（适用于 Windows）或 .sh（适用于基于 Unix 的操作系统）脚本。这些脚本下载外部托管的 EXE 或 Linux ELF，并使用指定要使用的矿池、挖掘加密货币的钱包以及要使用的 CPU 线程数的参数执行二进制文件。

这远不是第一次发现潜伏在软件存储库中的挖矿恶意软件。今年 6 月初，Sonatype和JFrog（前身为 Vdoo）发现了渗透 PyPI 存储库的恶意包，这些包在受影响的机器上秘密部署了加密货币挖矿程序。