NPM组件 @mz-codes/const 等窃取主机敏感信息

原创 于 2025-08-21 11:57:36 发布 · 628 阅读 · 9 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
GEO检测
标签
#npm #前端 #node.js #NPM组件 #敏感信息窃取
#软件供应链

【高危】NPM组件 @mz-codes/const 等窃取主机敏感信息

漏洞描述

当用户安装受影响版本的 @mz-codes/const 等NPM组件包时会窃取用户的主机名、用户名、IP地址信息并发送到攻击者可控的服务器地址。

MPS编号MPS-vped-mlcb
处置建议强烈建议修复
发现时间2025-08-21
投毒仓库npm
投毒类型主机信息收集
利用成本
利用可能性

影响范围

影响组件受影响的版本最小修复版本
@navify-platform/i18n[1.2.0, 1.2.0]-
powerbi-visuals-sunburst[2.7.0, 2.7.0]-
buuwoej[5.10.15, 5.10.15]-
mappleiu[7.9.5, 7.9.5]-
tailwind-class-overrides[1.0.3, 1.0.3]-
node-nvm-ssh[1.0.1, 1.0.1]-
@navify-platform/env[1.4.3, 1.4.3]-
@uit-spritesmith/webpack[0.1.2, 0.1.4]-
boostriomont[5.7.15, 5.7.15]-
healthbot-container[5.0.0, 5.0.0]-
sensitive-paths-focus[3.4.2, 3.4.2]-
orion-ui[0.1.0, 9.2.2]-
cl-claude-code[1.0.0, 1.0.1]-
tailwind-supabase[1.1.4, 1.1.4]-
kaltura-player-js[1.0.1, 1.0.1]-
@mz-codes/const[1.1.3, 1.1.3]-
other-external[20.1.1, 20.1.1]-
eslint-github-bot[0.1.0, 0.1.0]-
@navify-platform/url[1.3.0, 1.3.0]-
@ember-velcro/monorepo-root[11.11.11, 11.11.11]-
@navify-platform/auth[3.7.0, 3.7.0]-
@navify-platform/http[1.3.1, 1.3.1]-
math-crypto[2.0.5, 2.0.8]-
sdp-transform-parser[99.99.99, 99.99.99]-
tailwindcss-theme-icons[1.0.3, 1.0.3]-
@navify-platform/event[1.2.0, 1.2.0]-
@navify-platform/error[1.2.0, 1.2.11]-
ai-agent-email[9.0.1, 9.0.1]-
@navify-platform/idle[2.3.0, 2.3.0]-
ip-checking[1.0.0, 1.0.0]-
common-logify[7.11.7, 7.12.0]-
sdp-transform-writer[99.99.99, 99.99.99]-
mega-compress[1.0.12, 1.0.12]-

参考链接

https://www.oscs1024.com/hd/MPS-vped-mlcb

安全处理建议

  1. 排查是否安装了受影响的包:
    使用墨菲安全软件供应链安全平台等工具快速检测是否引入受影响的包。
  2. 立即移除受影响包:
    若已安装列表中的恶意包,立即执行 npm uninstall <包名>,并删除node_modules和package-lock.json后重新安装依赖。
  3. 全面检查系统安全:
    运行杀毒软件扫描,检查是否有异常进程、网络连接(重点关注境外 IP 通信),排查环境变量、配置文件是否被窃取(如数据库密码、API 密钥等),必要时重置敏感凭证。
  4. 加强依赖管理规范:
  • 仅从官方 NPM 源安装组件,避免使用第三方镜像或未知来源的包。
  • 使用npm audit、yarn audit定期检查依赖漏洞。
  • 限制package.json中依赖的版本范围(如避免*或latest),优先选择下载量高、社区活跃的成熟组件。
  • 集成墨菲安全软件供应链安全平台等工具自动监控风险。

一键自动排查全公司此类风险

墨菲安全为您免费提供一键排查全公司开源组件漏洞&投毒风险服务,可一键接入扫描全公司的代码仓库、容器镜像仓库、主机、制品仓库等。

试用地址:https://www.murphysec.com/adv?code=M99Z

提交漏洞情报:https://www.murphysec.com/bounty

关于本次投毒的分析

  • 包名:@mz-codes/const@1.1.3
    攻击目标:Navify Platform项目
    理由:多个@navify-platform子组件(如i18n、env、auth等)受影响,可能通过依赖该投毒包窃取主机敏感信息。
墨菲安全
关注
博客
墨菲安全联合公安三所、国泰海通证券发布《漏洞及投毒情报应用实践指南》
05-08 405
墨菲安全联合公安三所、国泰海通证券发布《漏洞及投毒情报应用实践指南》2026版,指南指出企业安全面临组件选型风险、告警误报多、影响范围错误、漏洞细节缺失四大痛点,亟需提升情报应用能力。
博客
墨菲安全发布《安全度量最佳实践2026版》
04-20 455
《安全度量最佳实践2026版》为企业安全治理提供系统化解决方案。该实践基于ESSF框架,提出CSI、SAI、SII三类核心指标,将传统“问题清单”升级为可量化的“风险指数”。报告包含7大章节,从需求调研到常态化运营,完整覆盖安全度量建设路径,重点解决管理层决策难、跨部门协同弱、成效评估模糊等痛点。通过建立统一的安全度量语言,实现风险可视化、责任可追溯、治理可闭环,推动企业安全建设从经验驱动转向数据驱动。该实践整合多行业头部企业经验,为企业提供可落地的量化治理方案。
博客
墨菲安全联合中国电信研究院发布《开源安全治理最佳实践》
03-18 428
《开源安全治理最佳实践2026版》发布,揭示开源安全严峻态势:2025年新增漏洞42万+,恶意组件5.9万+,53%企业存在许可证冲突。报告指出企业面临资产不清、漏洞难修、风险难防三大痛点,提出覆盖全生命周期的七大治理方案,包括现状分析、技术选型、组织推动等关键环节。报告强调开源治理需建立SBOM管理、前置拦截等五项核心能力,并提供从认知到落地的完整方法路径。该报告由墨菲安全联合中国电信研究院及行业专家共同编制,基于数百家企业实践,旨在帮助企业构建可持续的开源安全治理体系。
博客
墨菲安全研究院联合涂鸦等企业发布《出海智能制造开源安全治理最佳实践》
06-17 258
出海智能制造企业面临开源安全治理新挑战,风险边界已从组件漏洞扩展到供应链攻击、恶意投毒等新场景。这类企业因涉及固件、嵌入式软件等多环节,风险影响更复杂,且海外监管日益严格。墨菲安全研究院联合涂鸦智能、安克创新发布《出海智能制造开源安全治理最佳实践》,针对SBOM、许可证合规等核心问题,提供从风险识别到持续改进的治理方案,助力企业将安全治理转化为长期能力。
博客
你装的 Skill 真的能用,但也真的会把你的隐私数据带走
06-10 187
AI Skill安全风险引发供应链安全新挑战。随着AI Agent功能扩展,各类 Skill 虽提升效率,却暗藏安全隐患:恶意Skill可能窃取SSH私钥、环境变量等敏感信息,或通过隐蔽指令泄露数据。墨菲安全SCA推出Skills检测模块,从代码、提示词、操作指令等多维度分析风险,提供具体证据而非笼统警告。建议企业在引入Skill前进行安全审查,平衡效率与安全,避免“有用但危险”的Skill进入生产环境。
博客
近期投毒事件频发,关基行业如何降低供应链投毒风险?
06-04 217
供应链投毒攻击正在从开源组件仓库扩散到 CI/CD、IDE/浏览器插件和 AI 生态。墨菲安全“供应链投毒风险治理方案”,帮助企业建立“感知-检测-阻断”一体化治理思路。
博客
墨菲安全获评超聚变探索者大会2026“聚智·同行伙伴”
05-28 351
墨菲安全与超聚变深度合作,共同打造FusionOS26 AI原生操作系统安全方案,获评“聚智·同行伙伴”。双方围绕软件供应链安全展开合作,推动安全能力从单点防护向原生融合演进。墨菲安全通过AI技术重构漏洞治理效率,将安全能力工程化,并构建平台化安全协同体系,实现从风险识别到价值量化的转变。同时,墨菲安全持续扩展AI生态安全能力,覆盖新型风险场景。未来,安全行业将聚焦构建具备持续风险理解与治理能力的AI原生系统,墨菲安全将继续深化与行业伙伴合作,推动安全能力成为企业核心能力。
博客
墨菲安全发布SCA 4.0:AI原生、Skills 检测
04-14 365
企业安全治理面临SCA工具效率低下的痛点:传统产品仅提供漏洞信息而非行动方案,导致安全、研发、法务多角色沟通成本高。墨菲安全SCA4.0通过AI原生重构实现三大突破:1、AI自动输出可执行结论,让研发无需安全背景即可完成修复;2、将单漏洞处置时间从数小时缩短至分钟级;3、扩展检测范围至AI生态(如Skills供应链安全)。该方案颠覆了“信息交付”模式,通过AI驱动全流程决策,真正实现低成本高效治理。
博客
墨菲安全正式发布AI原生企业安全治理平台SGP
03-19 614
墨菲安全推出AI原生安全治理平台(SGP),基于企业安全治理框架(ESSF)实现科学度量和高效治理。SGP通过动态更新的开源框架统一安全度量标准,让企业管理者、业务部门和安全团队都能清晰理解安全水位。平台利用墨思AIAgent重构安全问题处置流程,实现300倍效率提升,包括智能研判、优先级排序和一键处置等功能。SGP核心价值在于“让安全价值被看见”和“让问题处置更高效”;旨在改变安全部门长期面临的“背锅”困境。产品经过2年打磨和头部企业试点,现正式开放体验通道,创始人将全程支持试用过程。
博客
IDE插件和AI工具正成为投毒攻击的新“蓝海”
03-05 289
《2025软件供应链投毒风险报告》揭示攻击边界正从传统组件仓库向IDE插件和AI工具链扩展。报告指出,VSCode、Chrome等插件因高权限和用户信任成为新型攻击载体。AI生态更出现“幻觉投毒”新手法。软件供应链安全边界正在消失,企业必须将防御范围扩展到研发终端和AI风险领域。
博客
2025年软件供应链投毒攻击的三个致命演变
03-03 375
《2025年软件供应链投毒风险研究报告》显示,软件供应链投毒风险呈现三大致命演变:攻击精准化,从随机钓鱼转向针对特定目标的定制化攻击;传播自动化,Shai-Hulud蠕虫式攻击在2天内感染500多个NPM组件,波及2万多个GitHub仓库;危害直接化,攻击目标转向直接获利,如TrustWallet因投毒损失850万美元。表明软件供应链投毒已从边缘风险升级为核心安全威胁,亟需升级防御策略。
博客
【重磅发布】2025年度软件供应链投毒风险研究报告
02-28 203
2025年开源软件供应链投毒威胁显著加剧,全年投毒包总量达59,000个,较2024年增长超50%。攻击呈现三大新趋势:定向精准狩猎取代广撒网式攻击;蠕虫式传播(如Shai-Hulud事件)导致大规模感染;目标转向可直接变现的高价值凭据。墨菲安全研究院发布《2025年度软件供应链投毒风险研究报告》,提出自动化检测、终端管控等系统性治理建议,为企业安全团队提供应对方案。
博客
AI Agent失控风险:OpenClaw从提示词注入到skill投毒
02-04 1837
高权限AI代理(如OpenClaw)正面临严重安全风险,包括提示词注入攻击和恶意Skill扩展。研究发现约10%的第三方Skill存在投毒行为,通过文档引导、分阶段投放等方式执行恶意操作,导致数据泄露和权限获取风险。企业应隔离不可信输入、严格审查第三方Skill,并限制代理权限范围。文章提供了相关IOC指标和恶意Skill清单,建议采取沙箱运行、最小权限等防护措施。
博客
墨菲安全连续入选《中国网络安全新势力30强》,实力领航软件供应链安全
02-03 183
近日,网络安全垂直领域的产业研究机构——数说安全,发布了备受瞩目的《2025年中国网络安全新势力30强》榜单。墨菲安全凭借在软件供应链安全领域的突出表现与持续创新,连续第二年荣耀登榜,这不仅是对墨菲安全技术实力与产品化能力的持续认可,也印证了公司在产品创新、服务落地与行业贡献方面的长期价值。
博客
SHA1HULUD蠕虫再现:超300NPM包被投毒、 2万仓库信息被窃取
12-04 1284
2025年11月24日,墨菲安全实验室检测到数小时内NPM仓库中超过300个组件被相同的方式投毒,这些包在NPM仓库中发布的新版本仿冒引入Bun运行时,引入 preinstall: node setup_bun.js,以及混淆的 bun_environment.js 文件。
博客
NPM组件 @capacitor-bmo/biometric 等窃取主机敏感信息
08-26 683
NPM组件@capacitor-bmo/biometric等多个包存在高危投毒漏洞,安装后会窃取主机名、用户名、IP地址并发送至攻击者服务器。影响ember-lts-4.4、gannache、solana-pump-test等50余个组件特定版本,无修复版本。利用成本低、可能性中,建议立即排查卸载受影响包,删除依赖重装,检查系统异常通信及敏感凭证安全,加强依赖管理。
博客
Google Chrome V8 <14.1.58 越界写入漏洞
08-21 981
CVE-2025-9132是Google Chrome V8引擎高危越界写入漏洞,影响V8<14.1.58(对应Chrome<141.0.7355.0)。因V8解析C风格for循环内await using声明时存在逻辑缺陷,生成错误字节码,JIT编译器处理时触发越界内存写入,可破坏内存结构导致浏览器渲染器进程执行任意代码。修复通过修改解析函数,强制将相关变量模式视为常量以确保异步资源释放正确处理。建议升级V8至14.1.58+或Chrome至141.0.7355.0+。
博客
NGINX ngx_mail_smtp_module 内存越界读取漏洞
08-21 1726
【中危】NGINX ngx_mail_smtp_module内存越界读取漏洞(CVE-2025-53859)影响版本[0.7.22, 1.29.1)。启用该模块且smtp_auth设为none时,认证服务器返回Auth-Wait响应会触发认证错误处理缺陷,导致内存越界读取,泄露服务器数据。建议升级至1.29.1及以上版本,或修改smtp_auth为非none方法,禁用不必要的smtp模块。
博客
NPM组件 @angular_devkit/core 等窃取主机敏感信息
08-21 999
【高危】多个NPM组件(如@angular_devkit/core、microsoft-bonsai-api等)存在投毒风险,安装后会窃取主机名、用户名、IP地址等敏感信息并发送至攻击者服务器。影响范围广,涉及Angular开发工具、微软Bonsai API、Solana生态等领域组件。利用成本低,建议立即排查移除受影响包,删除node_modules及package-lock.json后重装依赖,全面检查系统安全,加强依赖管理,避免使用未知来源包。
博客
NPM组件 @amiga-fwk-nodejs/log 等窃取主机敏感信息
08-21 1005
【高危】NPM组件投毒漏洞,涉及@amiga-fwk-nodejs/log、rush-plugins等多个包。安装受影响版本后,会窃取主机名、用户名、工作目录、IP等敏感信息并发送至攻击者服务器。利用成本低,影响范围广。建议立即排查并卸载恶意包,删除node_modules和package-lock.json后重装依赖,全面检查系统安全,重置敏感凭证。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值