[[413444]]

近日，研究人員發現官方NPM庫中的軟件包可以從Chrome web瀏覽器竊取保存的密碼。

NPM 是Node.js的包管理器，共有超過150萬個包，每個月的下載量超過300億次。研究人員分析發現，NPM中包含不同類型的可執行文件，包括PE、ELF、MachO等。

研究人員分析發現nodejs_net_server包的多個版本中都具有惡意行為。通過這些包的metadata數據分析發現該文件的原始名為a.exe，位于lib文件夾中。研究人員進一步分析發現a.exe是一個ChromePass工具，用來恢復Chrome web瀏覽器中保存的密碼。

圖1: ChromePass工具

該工具本身并不是惡意的，但是可以用于惡意目的。比如，該包使用它來執行惡意密碼竊取和憑證竊取。雖然該密碼恢復工具有圖形用戶接口，但是惡意軟件作者好像更喜歡用命令行工具。

圖2: nodejs_net_server NPM包

NPM的 nodejs_net_server包頁面表明該包的最新版本為v1.1.2，大約6個月前發布。該包的URL主頁指向一個GitHub地址。該包的開發者為chrunlee，是GitHub的活躍開發者，GitHub賬號中含有一個web鏈接：hxxps://chrunlee.cn 。

圖3: chrunlee的 github頁面

NPM版本歷史表明該包一共發布了12個版本，總下載次數為1283次。

表 1: nodejs_net_server版本

有意思的是發布的1.1.1和1.1.2版本中包含了測試ChromePass工具的結果。這些登錄憑證信息保存在相同文件夾的a.txt文件中， 因為密碼恢復工具名為a.exe。

文本文件中包含2020年3月到2020年12月創建的282個登錄憑證信息。圖4可以看出惡意軟件作者并沒有遵循密碼的最佳安全實踐。

圖4: 惡意軟件作者從瀏覽器中恢復的密碼

另外，惡意軟件作者還通過類似單詞(typosquatting)誘使受害者執行惡意包。惡意軟件作者使用與主流包類似名的包來誘使用目標安裝包。本例中，惡意軟件作者使用了不同的方式來濫用npm包的配置選項。

NPM包在package.json 配置文件中的bin 域來PATH路徑安裝一個或多個可執行文件。包安裝后，NPM會將該文件軟鏈到prefix/bin文件夾(全局安裝)或./node_modules/.bin/ 文件夾(本地安裝)。這些可執行文件可能會被分配給任意名，如果相同名字的模塊存在，就會覆寫和映射到惡意軟件提供的腳本。

NPM下載數據表明該包已經被下載超過3.5萬次數。該包在Node.js開發者社區也是非常流行的，在過去7天內下載量超過1000次。該包車位劫持目標的另外一個原因是測試執行時是以命令行形式而非JS文件模塊的形式。

圖 5: 濫用package.json中的bin域來執行劫持

包安裝和成功劫持后，惡意軟件還會通過將 lib/test.js 腳本安裝為Windows服務的形式來實現駐留。

圖6: 駐留Windows服務安裝

該服務會打開一個socket來監聽7353端口的命令。支持的命令包括逆向host和端口配置、目錄內容監聽、文件查詢、文件上傳、shell命令執行、屏幕和攝像頭錄制。瀏覽器密碼竊取是通過之前下面的ChromePass 工具的shell命令執行實現的。

圖7: 創建監聽socket

該包的主頁和GitHub倉庫鏈接目前都指向不存在的web頁面。查看惡意軟件開發者chrunlee發布的其他NPM包發現了一個同樣沒有鏈接的包。該包名為tempdownloadtempfile，只在2019年6月發布過1個版本。其中只包含 package.json 和file/test.js文件。file/test.js文件實現了nodejs_net_server 包中實現的相同的遠程shell功能，但該包并不執行劫持也沒有駐留機制。

本文翻譯自：https://blog.secure.software/groundhog-day-npm-package-caught-stealing-browser-passwords如若轉載，請注明原文地址。