OSCS(开源软件供应链安全社区)推出免费的漏洞、投毒情报订阅服务，社区用户可通过机器人订阅情报信息，具体订阅方式详见：https://www.oscs1024.com/?src=wx

事件简述

2022 年 7 月 7 日，OSCS 监测发现开发者 hayahunterr 在 NPM 仓库中上传了 ably-common、api-key-regex、ably-asset-tracking-common、repository-audit等恶意组件包。

这些组件包与 Ably 公司的开源项目同名，推测其抢注包名是期望证明此类风险从而赚取 Ably 公司的漏洞赏金。

事件分析

7月7日，OSCS 监测发现 NPM 仓库中出现了由开发者 hayahunterr 上传的多个恶意组件包，并在描述中注明了bugbounty hunt等字样。

通过对包名分析可以发现，Ably 公司在 NPM 仓库中发布了名为 ably 的组件包。

Ably 公司还在 GitHub 中有其他 Node.js 开源项目，其中包括 ably-common、api-key-regex等，但并没有在 NPM 中发布。

因此，hayahunterr 可能在观察到该现象后决定通过在 NPM 仓库上传 ably-common，ably-asset-tracking-common等与 Ably 公司开源项目同名的恶意组件包，进行抢注，验证这些项目是否在 Ably 公司内部已经发布，并且是否存在研发人员通过公开仓库下载使用内部组件。

其验证的方式是添加了如下代码，当这些包被引用时会将用户名，环境信息等敏感发送到远程服务器。

总结

通过近期监测可以发现频繁出现类似抢注内部包名的投毒事件，所幸大部分的行为并没有恶意，也没有造成太大的影响，但此类水坑攻击的成本低、风险高，企业需要注意防范。

了解更多

1. 免费使用 OSCS 的情报订阅服务

OSCS （开源软件供应链安全社区）会第一时间发布开源项目最新的安全风险动态，包括开源组件安全漏洞、投毒情报等信息，社区用户可通过企微、钉钉、飞书等方式进行订阅。

具体订阅方式详见：

https://www.oscs1024.com/docs/vuln-warning/intro/

（来源：freebuf）

（原文链接：https://www.freebuf.com/news/338576.html）