7 月 17 日消息，The Hacker News 昨日（7 月 16 日）發(fā)布博文，報道稱 npm 軟件包列表中發(fā)現(xiàn)了 2 個惡意軟件包，可以執(zhí)行從遠程服務器發(fā)送的惡意命令。

這兩個惡意軟件包分別為 img-aws-s3-object-multipart-copy和 legacyaws-s3-object-multipart-copy，目前分別已被下載 190 次和 48 次，截至發(fā)稿為止，這兩個惡意軟件包已被 npm 安全團隊清理。

軟件供應鏈安全公司 Phylum 在一份分析報告中說：“這些軟件包含隱藏在圖像文件中的復雜命令和控制功能，這些命令和控制功能將在軟件包安裝過程中執(zhí)行”。

這兩個軟件包會冒充名為 aws-s3-object-multipart-copy的合法 npm 庫，但附帶了一個經過修改的“index.js”文件版本，用于執(zhí)行一個 Java 文件（“l(fā)oadformat.js”）。

該 Java 文件通過發(fā)送主機名和操作系統(tǒng)詳細信息，在命令與控制（C2）服務器上注冊新客戶端，然后會嘗試每隔五秒定期執(zhí)行攻擊者發(fā)布的命令。

注：npm 是 Node.js默認的、用 Java 編寫的軟件包管理系統(tǒng)。