一、事件简述

2022 年 7 月 7 日，OSCS 监测发现开发者hayahunterr在NPM仓库中上传了 ably-common、api-key-regex、ably-asset-tracking-common、repository-audit 等恶意组件包，这些组件包与Ably 公司的开源项目同名，推测其抢注包名是期望证明此类风险从而赚取Ably 公司的漏洞赏金。

二、事件分析

• 7月7日，OSCS监测发现NPM仓库中出现了由开发者hayahunterr上传的多个恶意组件包，并在描述中注明了「bugbounty hunt」等字样。
• 
• 通过对包名分析可以发现，Ably 公司在NPM仓库中发布了名为ably的组件包。
• 
• Ably 公司还在GitHub中有其他node.js开源项目，其中包括ably-common、api-key-regex等，但并没有在NPM中发布。
• 
• 因此，hayahunterr可能在观察到该现象后决定通过在 NPM 仓库上传ably-common，ably-asset-tracking-common等与 Ably 公司开源项目同名的恶意组件包，进行抢注，验证这些项目是否在Ably公司内部已经发布，并且是否存在研发人员通过公开仓库下载使用内部组件。
• 其验证的方式是添加了如下代码，当这些包被引用时会将用户名，环境信息等敏感发送到远程服务器。
• 

三、总结

• 通过近期监测可以发现频繁出现类似抢注内部包名的投毒事件，所幸大部分的行为并没有恶意，也没有造成太大的影响，但此类水坑攻击的成本低、风险高，需要企业注意防范。