NPM组件 nodemantle002 等窃取主机敏感信息

【高危】NPM组件 nodemantle002 等窃取主机敏感信息

漏洞描述

当用户安装受影响版本的 nodemantle002 等NPM组件包时会窃取用户的主机名、用户名、工作目录、IP地址等信息并发送到攻击者可控的服务器地址。

MPS编号	MPS-qrk7-ayms
处置建议	强烈建议修复
发现时间	2025-07-04
投毒仓库	npm
投毒类型	主机信息收集
利用成本	低
利用可能性	中

影响范围

影响组件	受影响的版本	最小修复版本
lunasec-sdks	[55.3.1, 55.3.1]	-
lz-evm-sdk-v1	[2.9.90, 2.9.90]	-
node-log-streamer	[1.4.12, 1.4.12]	-
systemjs-builder-test	[55.3.1, 55.3.1]	-
definitelytyped-tools	[1.0.0, 99.99.98]	-
oft-evm	[7.1.1, 7.1.1]	-
rjs-test	[55.3.1, 55.3.1]	-
@emersonecologics/emerson-angular-trove	[99.99.99, 99.99.101]	-
nodemantle002	[2.3.1, 6.2.1]	-
baileys-cleaner	[1.0.0, 1.9.7]	-
what_type_of_self_indulgent_sub-par_challenge_is_this	[1.4.7, 1.4.9]	-
comcastapp	[1.3.6, 1.4.6]	-
nodestream-log	[1.0.12, 1.0.12]	-
@cognam/shared-project	[1.0.0, 1.0.61]	-
restpilot	[1.0.11, 1.0.11]	-
libramat283	[4.1.12, 4.1.12]	-
lz-evm-protocol-v2	[3.1.99, 3.1.99]	-
react-fixtures-ssr	[0.0.1, 55.3.1]	-
n8n-nodes-zalo-user-v2	[0.0.22, 0.0.28]	-
frontend-redux	[55.3.1, 55.3.1]	-
wevv9991	[1.0.0, 1.0.2]	-

参考链接

https://www.oscs1024.com/hd/MPS-qrk7-ayms

安全处理建议

1. 排查是否安装了受影响的包：
   使用墨菲安全软件供应链安全平台等工具快速检测是否引入受影响的包。
2. 立即移除受影响包：
   若已安装列表中的恶意包，立即执行 npm uninstall <包名>，并删除node_modules和package-lock.json后重新安装依赖。
3. 全面检查系统安全：
   运行杀毒软件扫描，检查是否有异常进程、网络连接（重点关注境外 IP 通信），排查环境变量、配置文件是否被窃取（如数据库密码、API 密钥等），必要时重置敏感凭证。
4. 加强依赖管理规范：

• 仅从官方 NPM 源安装组件，避免使用第三方镜像或未知来源的包。
• 使用npm audit、yarn audit定期检查依赖漏洞。
• 限制package.json中依赖的版本范围（如避免*或latest），优先选择下载量高、社区活跃的成熟组件。
• 集成墨菲安全软件供应链安全平台等工具自动监控风险。

一键自动排查全公司此类风险（申请免费使用）

墨菲安全为您免费提供一键排查全公司开源组件漏洞&投毒风险服务，可一键接入扫描全公司的代码仓库、容器镜像仓库、主机、制品仓库等。

试用地址：https://www.murphysec.com/apply?code=OSUK

提交漏洞情报：https://www.murphysec.com/bounty

关于本次投毒的分析

• 包名：nodemantle002@[2.3.1, 6.2.1]

  攻击目标：安装该包的开发者主机/项目

  理由：包名可能伪装成工具库，安装后窃取主机敏感信息，直接影响使用该包的开发环境。

• 包名：lz-evm-sdk-v1@2.9.90

  攻击目标：区块链开发项目/开发者

  理由：含"evm-sdk"，可能用于以太坊开发，窃取开发者主机信息，定向影响区块链相关项目。

• 包名：definitelytyped-tools@[1.0.0, 99.99.98]

  攻击目标：TypeScript开发社区/项目

  理由：与DefinitelyTyped相关，用于TypeScript类型管理，窃取开发者信息，影响TypeScript生态项目。