btwiuse在npm仓库中发布后门组件

2022 年 07 月 04 日,OSCS 监测发现 NPM 官方仓库被 btwiuse 上传了 btwiuse、k0s 恶意组件包,使用恶意组件包后会在用户电脑上加载名为 k0s 的远控木马,危害较为`严重`,OSCS 提醒广大开发者关注。

OSCS
OSCS   Follow

报告来源:OSCS开源社区(oscs1024.com)

报告作者:OSCS

更新日期:2022-07-04

# 一、事件简述:

NPM 是 Node.js 包管理工具,提供了对第三方 Node.js 包的查找、下载、安装、卸载等功能。

2022 年 07 月 04 日,OSCS 监测发现 NPM 官方仓库被 btwiuse 上传了 btwiuse、k0s 恶意组件包,使用恶意组件包后会在用户电脑上加载名为 k0s 的远控木马,危害较为严重,OSCS 提醒广大开发者关注。

# 二、 投毒分析

以 k0s 组件为例,其目录结构如下:

i

引入该组件后会执行远控木马程序,危险代码存在于 package.json 与 index.js 文件中。

恶意代码如下:

img

img

(恶意代码片段)

进行代码溯源发现远控调用的是如下地址的项目

https://github.com/btwiuse/k0s

OSCS 开源安全社区建议广大用户做好资产自查以及预防工作,以免遭受黑客攻击。

# 三、处置建议

排查方式:

1、使用npm ls或npm ls -g命令查看是否安装恶意组件

# npm ls k0s
null@ /
`-- k0s@0.0.2 -> ./node_modules/_k0s@0.0.2@k0s

2、排查项目package.json是否引用恶意组件

# 四、时间线

7月1日,攻击者上传了k0s的恶意包

7月3日,攻击者上传了 btwiuse的恶意包

7月4日,OSCS 监测到本次恶意 Python 包投毒行为

NPM 远控木马
一、事件简述:
二、 投毒分析
三、处置建议
四、时间线