NPM组件 aiohappyeyeballs 等窃取主机敏感信息
NPM组件aiohappyeyeballs等存在高危投毒漏洞,安装受影响版本(如aiohappyeyeballs [0.1.4, 0.2.5]、node-calculator-yqhi@2.2.0等)会窃取主机名、用户名、工作目录、IP地址等敏感信息并发送至攻击者服务器。利用成本低,可能针对开发环境及网站管理员主机。建议立即排查依赖,移除恶意包,全面检查系统安全(如异常网络连接、敏感凭证),并加强
【高危】NPM组件 aiohappyeyeballs 等窃取主机敏感信息
漏洞描述
当用户安装受影响版本的 aiohappyeyeballs 组件包时会窃取用户的主机名、用户名、工作目录、IP地址等信息并发送到攻击者可控的服务器地址。
| MPS编号 | MPS-yn10-lj8a |
|---|---|
| 处置建议 | 强烈建议修复 |
| 发现时间 | 2025-08-03 |
| 投毒仓库 | npm |
| 投毒类型 | 主机信息收集 |
| 利用成本 | 低 |
| 利用可能性 | 中 |
影响范围
| 影响组件 | 受影响的版本 | 最小修复版本 |
|---|---|---|
| node-calculator-yqhi | [2.2.0, 2.2.0] | - |
| reactcodepad | [1.0.0, 1.0.0] | - |
| cycalculator-ybvd | [2.2.0, 2.2.0] | - |
| botframework-webchat-cldr-data | [9.9.9, 9.9.9] | - |
| reactmsagl | [1.0.0, 1.0.0] | - |
| resource-deployment | [1.0.0, 1.0.0] | - |
| sqldbproj | [1.0.0, 1.0.0] | - |
| signature-transaction | [1.0.0, 1.1.2] | - |
| cycalculator-ye51 | [2.2.0, 2.2.0] | - |
| ts-browser-webpack | [1.1.1, 99.99.99] | - |
| node-calculator-fahw | [2.2.0, 2.2.0] | - |
| googlesitekit-widgets | [1.0.0, 1.0.0] | - |
| googlesitekit-modules | [1.0.0, 1.0.0] | - |
| xo-angular-ui-utils | [0.0.0, 2100.4.2] | - |
| sinhalasub.lk | [1.0.0, 10.0.0] | - |
| googlesitekit-data | [1.0.0, 1.0.0] | - |
| googlesitekit-notifications | [1.0.0, 1.0.0] | - |
| third-sender | [1.0.0, 1.1.2] | - |
| dataworkspace | [1.0.0, 1.0.0] | - |
| aiohappyeyeballs | [0.1.4, 0.2.5] | - |
| node-calculator-splo | [2.2.0, 2.2.0] | - |
| rbx-parser-ts | [1.5.7, 1.5.9] | - |
| nr1-github | [0.10.1, 1.2.4] | - |
| az-ext | [1.0.0, 1.0.0] | - |
| googlesitekit-components | [1.0.0, 1.0.0] | - |
| vscode-mssql | [1.0.0, 1.0.0] | - |
| googlesitekit-api | [1.0.0, 1.0.0] | - |
参考链接
https://www.oscs1024.com/hd/MPS-yn10-lj8a
安全处理建议
- 排查是否安装了受影响的包:
使用墨菲安全软件供应链安全平台等工具快速检测是否引入受影响的包。 - 立即移除受影响包:
若已安装列表中的恶意包,立即执行 npm uninstall <包名>,并删除node_modules和package-lock.json后重新安装依赖。 - 全面检查系统安全:
运行杀毒软件扫描,检查是否有异常进程、网络连接(重点关注境外 IP 通信),排查环境变量、配置文件是否被窃取(如数据库密码、API 密钥等),必要时重置敏感凭证。 - 加强依赖管理规范:
- 仅从官方 NPM 源安装组件,避免使用第三方镜像或未知来源的包。
- 使用npm audit、yarn audit定期检查依赖漏洞。
- 限制package.json中依赖的版本范围(如避免*或latest),优先选择下载量高、社区活跃的成熟组件。
- 集成墨菲安全软件供应链安全平台等工具自动监控风险。
一键自动排查全公司此类风险
墨菲安全为您免费提供一键排查全公司开源组件漏洞&投毒风险服务,可一键接入扫描全公司的代码仓库、容器镜像仓库、主机、制品仓库等。
试用地址:https://www.murphysec.com/adv?code=T3AT
提交漏洞情报:https://www.murphysec.com/bounty
关于本次投毒的分析
-
包名:aiohappyeyeballs@[0.1.4, 0.2.5]
攻击目标:Google Site Kit相关组件
理由:受影响依赖中含多个googlesitekit-*包(如widgets、modules),可能针对使用该WordPress插件的网站管理员主机环境。 -
包名:node-calculator-yqhi@2.2.0
攻击目标:安装该计算器工具的用户主机
理由:作为依赖aiohappyeyeballs的工具包,可能通过伪装功能引诱用户安装以窃取主机信息。 -
包名:vscode-mssql@1.0.0
攻击目标:VS Code MSSQL扩展用户
理由:开发环境中使用的数据库扩展,窃取的主机信息可能包含数据库敏感环境配置。
有“AI”的1024 = 2048,欢迎大家加入2048 AI社区
更多推荐
7
0- 0
已为社区贡献5条内容
所有评论(0)