这个故事开始于基于 react 的开源文档项目 docusaurus 的维护者 sébastien lorber 注意到对包清单的 pull request 更改。以下是对流行的 cliui npm 包的建议更改:
具体来说,让我们注意使用不熟悉的语法的 npm 依赖项更改:
"dependencies": {
"string-width": "^5.1.2",
"string-width-cjs": "npm:string-width@^4.2.0",
"strip-ansi": "^7.0.1",
"strip-ansi-cjs": "npm:strip-ansi@^6.0.1",
"wrap-ansi": "^8.1.0",
"wrap-ansi-cjs": "npm:wrap-ansi@^7.0.0"
大多数开发人员希望在包或 git 或基于文件的 url 的值中看到 semver 版本范围。然而,在这种情况下,有一个特殊的 npm: 前缀语法。是什么意思?
因此,在此拉取请求中提出的更改的情况下,包 string-width-cjs 将解析为版本 ^4.2.0 中的包 string-width。这意味着将有一个 string-width-cjs 的 node_modules 目录条目,但包含 string-width@^4.2.0 的内容以及锁定文件 (package-lock.json) 中的类似行为。
包别名是 npm 包管理器的一项功能,可以合法地用于此处暗示的情况(以帮助 esm 与 cjs 支持)。
话虽如此,包别名可能会被滥用。在一篇可追溯到 2021 年的文章和安全披露中,snyk 大使 nishant jain 演示了如何欺骗官方 npmjs 注册表,根据包别名错误地提供依赖信息,作为依赖关系混淆和供应链安全问题的一部分。
这个拉取请求确实是良性的,并且不存在供应链攻击的风险。 然而,sébastien 对这样的包名产生了怀疑,并发现还有更多值得担心的事情。
当sébastien检查拉取请求时,他运行了一个名为lockfile-lint的工具,该工具有助于验证锁文件,例如package-lock.json或yarn.lock,以确保它们不会被篡改以注入恶意包而不是原始包npm 包.
运行该工具显示以下警告:
npx lockfile-lint --path package-lock.json --allowed-hosts yarn npm --validate-https --validate-package-names
detected resolved url for package with a different name: string-width-cjs
expected: string-width-cjs
actual: string-width
detected resolved url for package with a different name: strip-ansi-cjs
expected: strip-ansi-cjs
actual: strip-ansi
detected resolved url for package with a different name: wrap-ansi-cjs
expected: wrap-ansi-cjs
actual: wrap-ansi
✖ error: security issues detected!
免责声明:lockfile-lint 是我在 2019 年开发的一个工具,在我发表文章后,披露了锁定文件的安全问题:为什么 npm 锁定文件可以成为注入恶意模块的安全盲点.
鉴于上述 lockfile-lint 结果,sébastien 在 npm 上查找了这些包名称,并惊讶地发现这些包名称确实存在于公共 npm 注册表中:
sébastien 指出,这些包名称不仅存在于 npm 上,而且它们还具有引起关注的指标:
查看 npm 包 strip-ansi-cjs,没有自述文件,也没有与该包关联的源代码存储库,但有许多合法且流行的包引用了相同的行为。
事实上,对于这个特定的软件包,有许多依赖项(依赖于该软件包的其他软件包)形式的流行信号 - 确切地说,有 529 个依赖项,并且每周下载量也在不断增加,当时总计 7,274 次写作.
查看 strip-ansi-cjs 的代码,可以发现该包中只有一个文件,即包清单 package.json 文件。
那么,为什么一个不做任何事情的包会获得如此多的下载,以及为什么还有那么多其他包依赖它?
我们继续考察这些npm包的作者。
这三个包均归himanshutester002 所有,它们的包均于去年发布,并带有程序化版本号。有些很有趣:
您还可以注意到,用户 himanshutester002 在 npmjs 上的此用户个人资料页面上没有可识别的信息。
我们之前注意到 strip-ansi-cjs npm 软件包有超过 500 个其他软件包使用它,因此,这可能是流行度的积极指标。让我们看看他们:
如果你看一眼,这可能会在这个列表中传递某种合法性,但真的是这样吗?
例如,像 clazz-transformer 或 react-native-multiply 或 gh-monoproject-cli 这样的名称似乎是合法的,但它们是吗?
这是react-native-multiply npm 包页面:
该软件包几乎没有下载,其作者也是一位匿名 npm 用户,没有任何可识别信息。该包重定向到的源 url 存储库是 https://github[.]com/hasandader/react-native-multiply,该存储库不存在,并且 github 用户个人资料看起来非常可疑并且缺乏实际活动。
npm 包内容可能看起来像是有一些实际的源代码,但实际上,它看起来像是为“hello world”应用程序原型生成的代码示例。
你还想知道,如果这个包只是一个乘法库,那么为什么它需要 776 个依赖项来执行以下操作:
import { multiply } from 'react-native-multiply';
const result = await multiply(null, 7);
虽然有些人可能会嘲笑 javascript 滥用依赖项,导致嵌套包的数量达到天文数字,但对于一个项目来说,声明 776 个直接(顶级)依赖项是没有任何意义的。
在所有这些依赖项中,有我们的故事开始时的 3 个可疑的 npm 包:string-width-cjs、strip-ansi-cjs 和 wrap-ansi-cjs:
我们提到 strip-ansi-cjs 依赖项之一名为 clazz-transformer。我们来看看:
让我们解释一下这里发生了什么:
github 上关联存储库的typstack/class-transformer 具有 package.json 文件,如下所示:
查看 github 上的 package.json 文件显示没有依赖项声明,但如果我们检查 npmjs 上实际包的源代码,我们会看到此 clazz-transformer 打包时包含的 437 个依赖项。再次,非常方便地捆绑 3 个可疑的 *-cjs 软件包:
在我们得出进一步的结论之前,有必要提及我们在上面观察到的 npm 包的一些特征:
我们在 sonatype 的同行之前已经发现过类似的软件包淹没开源注册表的案例。在这些情况下,最终目标是开发人员用 tea 代币奖励自己,这是一个用于通过开源软件货币化的 web3 平台。
在上述包中找到一些 tea.yaml 文件进一步支持了这一论点,即该活动的部分目的是通过滥用 tea 来挖掘 tea 代币。
今年早些时候,即2024年4月14日,一位茶论坛用户发表了一条评论,进一步支持了对茶滥用的关注:
在给出结论之前,我要真诚地感谢 sébastien lorber 谨慎的维护者心态,并帮助揭示潜在的 npm 供应链攻击的线索。
此时,我非常有信心我可以继续在其余据称依赖于 string-width-cjs 的包中找出漏洞,以找到非常可疑的真实合法性指标。
我的假设是,所有这些依赖包和下载量增加的唯一目的是为 3 个 *-cjs 包创建虚假的合法性,以便在适当的时候,在适当的受害者参与的情况下,这些假包将被安装然后是新的恶意版本。
为了帮助您在使用开源软件时保持安全,我强烈建议采用安全实践,特别是以下后续教育资源:
我们是否在他们的不法行为中发现了供应链安全活动,或者这一切都与金钱轨迹有关,因此可以归因于垃圾邮件和滥用 npm 和 github 等公共注册中心来挖掘 tea 代币?
无论如何,请保持警惕。