微软发现恶意 npm 软件包，可从 UNIX 系统窃取数据

2020-01-15 13:00

作者：安华金和

Microsoft 的漏洞研究团队在 npm 存储库中发现了一个恶意 JavaScript 程序包，可从 UNIX 系统窃取敏感信息。该恶意软件包名为 1337qq-js，于 2019 年 12 月 30 日上传到 npm 存储库中。目前，该恶意软件包已被 npm 的安全团队删除。在此之前，该软件包至少被下载了 32 次。

根据 npm 安全团队的分析，该软件包通过安装脚本来泄漏敏感信息，并且仅针对 UNIX 系统。

它收集的数据类型包括：

环境变量
运行过程
/etc/hosts
用户名
npmrc文件

其中，窃取环境变量则被视为重大安全漏洞。npm 团队建议所有在其项目中下载或使用此 JavaScript 程序包的开发人员从其系统中删除该程序包，并轮换使用任何 compromised 的凭据。

事实上，这是恶意软件包第六次被放入 npm 存储库索引，此前的五次分别为：

2019 年 6 月黑客将电子本地通知库进行后门操作，以插入到达 Agama 加密货币钱包的恶意代码。
2018 年 11 月一名黑客借壳了 event-stream npm 程序包，以将恶意代码加载到 BitPay Copay 桌面和移动钱包应用程序内部，并窃取加密货币。
2018 年 7 月黑客利用旨在窃取其他开发人员的 npm 凭据的恶意代码破坏了 ESLint 库。
2018 年 5 月黑客试图在名为 getcookies 的流行 npm 包中隐藏后门。
2017 年 4 月黑客利用敲诈手段在 npm 上载了 38 个恶意 JavaScript 库，这些库被配置为从使用它们的项目中窃取环境细节。

来源：开源中国

更多资讯

博通芯片组件出现漏洞约 2 亿电缆调制解调器受影响

据zdnet报道，丹麦安全公司Lyrebirds的研究人员在一份报告中称，使用博通芯片的有线调制解调器容易受到一个名为“Cable Haunt”的新漏洞的攻击。报道称，该漏洞仅在欧洲就影响了大约 2 亿个电缆调制解调器。

来源：ChinaZ 站长之家
详情链接：https://www.dbsec.cn/blog/article/5733.html

本月补丁星期二将修复严重安全漏洞 Windows 7 或无缘获得

援引外媒 KrebsonSecurity 报道，在 2020 年 1 月的补丁星期二活动中，微软可能已准备好修复存在于 Windows 系统中的严重加密漏洞，而该漏洞能够让恶意程序伪装成为受信任的组件欺骗用户进行安装感染。而重点是，今天正式停止支持的Windows 7系统可能不会修复该漏洞。

来源：cnBeta.COM
详情链接： https://www.dbsec.cn/blog/article/5734.html

安全公司发现俄黑客成功入侵Burisma网络：或对美大选产生干扰

据《纽约时报》报道，硅谷一家名为 Area1 的安全公司表示，他们发现有迹象表明，由国家资助的俄罗斯黑客成功入侵了乌克兰天然气公司Burisma。该公司在美国政治中扮演了核心角色，因为它跟民主党总统候选人领跑者约瑟夫·拜登关系密切。拜登的儿子亨特则是该公司的董事。

来源：cnBeta.COM
详情链接： https://www.dbsec.cn/blog/article/5735.html

研究发现五家美国电信企业易受 SIM 卡交换攻击

普林斯顿大学昨日发表的一项学术研究指出，美国五家主要的预付费无线运营商，极易受到 SIM 卡劫持攻击。其特指攻击者致电移动服务提供商，诱使电信企业员工将电话号码更改为攻击者控制的 SIM 卡，使之能够重置密码并访问敏感的在线账户，比如电子邮件收件箱、网银门户、甚至加密货币交易系统。

来源：cnBeta.COM
详情链接：https://www.dbsec.cn/blog/article/5736.html