NPM组件 @ivy-shared-components/iconslibrary 等窃取主机敏感信息

【高危】NPM组件 @ivy-shared-components/iconslibrary 等窃取主机敏感信息

漏洞描述

当用户安装受影响版本的 @ivy-shared-components/iconslibrary 等NPM组件包时会窃取用户的主机名、用户名、工作目录、IP地址等信息并发送到攻击者可控的服务器地址。

MPS编号 MPS-zh19-e78w
处置建议 强烈建议修复
发现时间 2025-07-15
投毒仓库 npm
投毒类型 主机信息收集
利用成本
利用可能性

影响范围

影响组件 受影响的版本 最小修复版本
@ivy-shared-components/iconslibrary 99.99.99, 99.99.991 -
ado-codespaces-auth 1.0.0, 1.0.0 -
ringcentral-google-drive-notification-add-in 2.2.2, 2.2.2 -
vss-web-auth-client 1.0.0, 1.0.0 -
finactivitiy-run 2.0.0, 2.0.0 -
okta-template-validator 99.99.99, 99.99.99 -
lezer-promql-tree-viz 1.0.0, 1.0.0 -
ai-gallery 1.0.0, 1.0.0 -
api-key-provider 1.0.0, 1.0.0 -
webvieweventtest 1.0.0, 1.0.0 -
jss-0.8.4 1.0.0, 1.0.0 -
axio.js 1.0.0, 1.0.0 -
ngf-attachments-list 1.1.30, 1.1.32 -
ai-audio-descriptions 1.0.0, 1.0.0 -
@cewe-designsystem/component_modal 99.9.0, 99.9.0 -
agent-configurator 1.0.0, 1.0.0 -
asios.js 1.0.0, 1.0.0 -
blockchain-helper-lib 0.0.1, 0.0.8 -
flpmonitor 1.0.0, 1.0.0 -
pxsceneui-example-03 1.0.9, 3.0.2 -
square-crypto-utils-internal 1.0.0, 1.0.0 -
grafana-strava-datasource 1.0.0, 1.0.0 -
boost-chii-90 1.1.5, 1.1.5 -
wrb3 1.0.0, 1.0.0 -
eslint-config-ivy 99.99.99, 99.99.993 -
acios.js 1.0.0, 1.0.0 -
public-tools-and-demos 1.0.0, 1.0.1 -
istio-feeder 1.2.5, 1.2.5 -
doctolib-appointment-finder 2.1.4, 2.1.4 -
shared-workflows 1.0.0, 1.0.0 -
dt-retag-lib 1.0.0, 1.0.0 -
codecops 1.0.0, 1.3.0 -
date-fns-2 1.0.0, 1.0.0 -
grafana-amazonprometheus-datasource 1.0.0, 1.0.0 -
lspushpage 7.2.1, 7.2.2 -
navigation-service 1.0.0, 1.1.0 -
shardeum-json-rpc 2.0.0, 2.0.0 -
ts-immutable-sdk 0.0.0, 7.7.7 -
@cbre-internal/mapping-component 99.9.0, 99.9.0 -
bk-card-cc-credit-limit-adjustment-ui 9.9.9, 9.9.9 -
scenes-ml-app 1.0.0, 1.0.0 -
ezer-promql-tree-viz 1.0.0, 1.0.0 -
wb3 1.0.0, 1.0.0 -
mydealer-service 1.0.0, 2.1.0 -
jet-os-detection 1.9.4, 1.9.4 -
mydealer-configuration-service 1.0.0, 2.2.0 -
mydealer-content-service 1.0.0, 1.2.0 -
artifact-registry-client 99.99.99, 99.99.99 -
azios.js 1.0.0, 1.0.0 -
course-config 7.7.7, 7.7.7 -
iron-github-io 1.0.0, 1.0.0 -
loki-release 1.0.0, 1.0.0 -
js-0.8.3 1.0.0, 1.0.0 -
ngf-attachment-item-view 1.1.22, 1.1.23 -
yandex-metrica 50.50.50, 50.50.50 -
mgzfakee 1.0.0, 1.0.2 -
@didi-pebble/pblint 1.0.0, 99.9.0 -
user-interaction-service 1.0.0, 2.0.0 -
appcenter-sampleapp-react-native 1.0.0, 1.0.0 -
ngf-gov-hr-navbar 0.2.20, 0.2.20 -
neolang-ui 1.0.0, 1.0.0 -
symphony-cryptolib 99.9.0, 99.9.0 -
community-pass-react-native-wrapper 0.0.2, 1.0.0 -
healthbottestservice 1.0.0, 1.0.0 -
bombora 1.0.0, 1.0.0 -
okta-ui-private-components 1.0.0, 1.0.0 -

参考链接

https://www.oscs1024.com/hd/MPS-zh19-e78w

安全处理建议

  1. 排查是否安装了受影响的包:
    使用墨菲安全软件供应链安全平台等工具快速检测是否引入受影响的包。
  2. 立即移除受影响包:
    若已安装列表中的恶意包,立即执行 npm uninstall <包名>,并删除node_modules和package-lock.json后重新安装依赖。
  3. 全面检查系统安全:
    运行杀毒软件扫描,检查是否有异常进程、网络连接(重点关注境外 IP 通信),排查环境变量、配置文件是否被窃取(如数据库密码、API 密钥等),必要时重置敏感凭证。
  4. 加强依赖管理规范:
  • 仅从官方 NPM 源安装组件,避免使用第三方镜像或未知来源的包。
  • 使用npm audit、yarn audit定期检查依赖漏洞。
  • 限制package.json中依赖的版本范围(如避免*或latest),优先选择下载量高、社区活跃的成熟组件。
  • 集成墨菲安全软件供应链安全平台等工具自动监控风险。

一键自动排查全公司此类风险

墨菲安全为您免费提供一键排查全公司开源组件漏洞&投毒风险服务,可一键接入扫描全公司的代码仓库、容器镜像仓库、主机、制品仓库等。

试用地址:https://www.murphysec.com/adv?code=9VL5

提交漏洞情报:https://www.murphysec.com/bounty

关于本次投毒的分析

  • 包名:@ivy-shared-components/iconslibrary@99.99.99

    攻击目标:Ivy公司内部项目

    理由:包名含"@ivy-shared-components",推测为Ivy内部共享组件库,主要影响其使用该图标库的内部项目。

  • 包名:ado-codespaces-auth@1.0.0

    攻击目标:Azure DevOps/GitHub Codespaces项目

    理由:"ado"指向Azure DevOps,"codespaces"关联GitHub Codespaces,攻击认证相关项目窃取环境信息。

  • 包名:ringcentral-google-drive-notification-add-in@2.2.2

    攻击目标:RingCentral与Google Drive集成项目

    理由:明确为RingCentral-Google Drive集成插件,目标是使用该插件的企业集成项目。

  • 包名:okta-template-validator@99.99.99

    攻击目标:使用Okta的企业项目

    理由:关联Okta身份管理服务,针对依赖其模板验证的企业项目,窃取主机信息威胁安全。

  • 包名:axio.js@1.0.0

    攻击目标:误安装的前端/Node.js项目

    理由:模仿知名HTTP库axios,诱导用户错误安装,窃取项目环境敏感信息。

  • 包名:@cbre-internal/mapping-component@99.9.0

    攻击目标:CBRE公司内部项目

    理由:"@cbre-internal"表明为CBRE内部组件,攻击其使用该地图组件的房地产相关项目。

  • 包名:blockchain-helper-lib@0.0.1

    攻击目标:区块链/加密货币项目

    理由:区块链辅助库,针对使用该库的区块链应用,窃取主机信息威胁项目安全。

  • 包名:eslint-config-ivy@99.99.99

    攻击目标:Ivy公司开发项目

    理由:Ivy公司ESLint配置包,影响采用该配置的内部开发项目,窃取开发环境信息。

相关推荐
Cobyte5 分钟前
17.响应式系统比对:链表如何实现响应式系统的高效更新
前端·javascript·vue.js
2601_963771379 分钟前
Speeding Up Creative Agency Portfolios: A Performance Guide
前端·数据库·php
禅思院10 分钟前
AI对话前端从入门到崩溃:一个长对话引发的五层优化战争【二】
前端·前端框架·ai编程
IT_陈寒43 分钟前
React useEffect里面写异步,我的状态怎么老丢?
前端·人工智能·后端
AI视觉网奇1 小时前
BambuStudio 自定义加载页面
服务器·前端·javascript
橙子家1 小时前
Extension storage、Interest groups 和 Shared storage 简介-浏览器缓存之【隐私沙盒与扩展专用存储】
前端
万亿少女的梦1682 小时前
基于Node.js和Express的旅游信息管理平台设计与开发
mysql·node.js·express·系统设计·旅游信息管理
漂流瓶jz2 小时前
理解Webpack插件机制:从插件使用、各类编译对象、Tapable到自定义插件与钩子开发
前端·javascript·webpack
梦帮科技12 小时前
GRAVIS v4.0:基于Web的极速套利架构设计与实时数据流实现
前端·人工智能·rust·自动化·区块链·智能合约·数字货币
爱勇宝12 小时前
办公资料反复修改、补传、交接混乱,我做了个桌面工具来解决这件事
前端·后端·程序员