據(jù)bleepingcomputer 報(bào)導(dǎo)，11 月 4 日，流行的 npm 庫(kù)“coa” 被劫持，其中注入了惡意代碼，短暫地影響了世界各地的 React 管道。

“coa”是 Command-Option-Argument 的縮寫：Node.js 項(xiàng)目的命令行選項(xiàng)解析器。這個(gè)庫(kù)每周在 npm 上的下載量約為 900 萬(wàn)次，被 GitHub 上近 500 萬(wàn)個(gè)開源存儲(chǔ)庫(kù)使用。

該項(xiàng)目的最后一個(gè)穩(wěn)定版本 2.0.2 于 2018 年 12 月發(fā)布。但是，在 npm 上突然出現(xiàn)了幾個(gè)可疑版本 2.0.3、2.0.4、2.1.1、2.1.3 和 3.1.3，這些惡意版本破壞了依賴于“coa”的 React 包：

目前這些惡意版本已被 NPM 刪除。

相似的攻擊方式

10 月，我們報(bào)導(dǎo)了另一個(gè) 流行的 npm 庫(kù)“ ua-parser-js ”遭到劫持， 而這次被黑的 “coa” 版本中包含的惡意 混淆的 JavaScript 代碼 ，與上次被劫持的 ua-parser-js 版本幾乎相同，可能兩起事件背后的威脅參與者建立了一些聯(lián)系。

而它的 batch 腳本內(nèi)容，又跟我們報(bào)導(dǎo)的假的 Noblox npm 包里面的 .bat 腳本風(fēng)格非常相似：在受感染的機(jī)器上安裝勒索軟件和賬號(hào)密碼竊取程序，甚至連變量擴(kuò)展 （ variable expansion）這種 加密方法都一模一樣：

而 coa 最后釋放的 惡意軟件，是 Windows 的 Danabot 密碼竊取木馬，它會(huì)盜取這些數(shù)據(jù)并發(fā)送給攻擊者：

• 從各種網(wǎng)絡(luò)瀏覽器竊取密碼，包括 Chrome、Firefox、Opera、Internet Explorer 和 Safari。
• 從各種應(yīng)用程序竊取密碼，包括 VNC、應(yīng)用程序、FTP 客戶端和郵件帳戶。
• 竊取存儲(chǔ)的信用卡。
• 截取活動(dòng)屏幕的屏幕截圖。
• 記錄按鍵。

出于這類供應(yīng)鏈攻擊的廣泛影響，強(qiáng)烈建議 “coa” 庫(kù)用戶檢查自己的項(xiàng)目是否有惡意軟件，包括檢查  compile.js、 compile.bat、sdd.dll 這些文件是否存在。 如果確認(rèn)已經(jīng)受感染，請(qǐng)更改設(shè)備上的密碼、密鑰和令牌，同時(shí)將 coa 的 npm 版本固定到穩(wěn)定版本“2.0.2”。