热门Npm套件COA疑遭劫持，恐导致数百万专案的开发者帐密遭窃

锁定Npm用户而来、并以带有恶意功能的套件发动攻击，今年已陆续发生多起。例如，提供UAParser.js套件的开发者Faisal Salman于10月底表示，他的Npm账号遭到他人挟持，并发布了带有恶意程式的版本，而使得Npm母公司与美国-都提出警告，呼吁使用者不只要尽速移除具有恶意功能的UAParser.js，还应该更换受害电脑上各式应用程序的密码。

但不到半个月，类似的事件再度上演。根据资安新闻网站Bleeping Computer的报导，名为COA（Command-Option-Argument）的热门套件疑似遭到劫持，而在数个小时内连续发布带有恶意程式的版本。

这个套件用途，是提供开发者以命令列下达指令的解析器，最后版本（2.0.2版）于2018年12月推出，平均每个星期约有9百万次下载，粗估目前GitHub上有5百万个开源专案采用，影响范围可能相当广泛。

一旦电脑遭到恶意版本的COA入侵，就有可能被部署Danabot窃密软件，并将偷得的各式帐密、信用卡资料、屏幕截图，以及侧录按键资料等，回传给攻击者。针对这起事故，使用者要删除有问题的套件与相关档案来因应，再者，套件开发者也应该透过采用多因素验证（MFA），来避免自己的Npm账号遭到异常存取。

恶意的Npm套件干扰软件专案

这起攻击事件是如何被察觉的呢？约在台湾时间11月4日晚间，React程式开发者Roberto Wesley Overdijk留意到，COA在相隔近3年后不寻常地发布新的版本，经过他的比对，新的版本带有恶意程式码，并会在后台尝试执行背景程式。该名开发人员指出，虽然他不确定发布恶意版本COA的人士意图为何，但这些“新版本”已经破坏网络上采用COA套件的软件专案。

这些含有恶意内容的COA套件发布后不久，也受到多名开发者加入讨论此事，并表示他们的软件开发专案在这些新版套件推出后，遭遇到编译上的错误。

上述情况Npm获报后，就将含有恶意程式版的COA套件下架。但在数个小时之后，又有另一个名为RC的Npm传出类似的情况，发布了1.2.9、1.3.9、2.3.9等3个恶意版本。

攻击手法与另一起事故雷同

从COA套件出现恶意版本的事故看来，与前述UAParser.js套件开发者账号遭骇的情形，可说是相当类似，不同之处是UAParser.js的开发者出面证实，他的Npm账号遭到挟持，而COA的开发者并未现身说明。

但这两起攻击事件究竟有没有关连？根据Bleeping Computer的分析，他们发现存在于恶意版本COA的攻击程式码，与恶意版本UAParser.js所带有的攻击程式码，内容几乎一致，研究人员推测，背后的攻击者可能有所关连。

再者，研究人员指出，攻击者的COA、UAParser.js，以及RC恶意版本，都是挟带名为Danabot的木马程式，并透过regsvr32.exe与rundll32.exe来执行。