Node.js套件管理器Npm出现恶意后门套件，允许骇客执行任意程式码

使用来自官方平台的套件也要提高警觉，近日有社群回报Node.js套件管理器Npm中，存在伪装成Cookie解析器，实则为恶意后门的恶意套件，官方也在收到通报并经过调查后，随即将这些套件包从Npm Registry上下架。

在5月2日，Npm安全团队收到了一份来自社群的回报，内容指出，getcookies套件含有恶意程式码，且由于套件互相相依的关系，牵扯了一串套件。套件express-cookies相依于getcookies，而http-fetch-cookies相依于express-cookies，最后热门的套件mailparser则相依于http-fetch-cookies，官方总共移除了这4个套件，其中mailparser的3个版本2.2.3、2.2.2与2.2.1皆受影响。

Npm安全团队提到，这个后门仰赖Http的标头档进行运作，搜寻特殊格式的资料，存在3种不同的指令，包括重置内存、执行内存中的程式码以及下载远端程式码到内存中，也就是说这个后门程式，能让骇客将任意的程式码放到任何受感染的服务器中并加以执行。

官方除了移除恶意套件，同时也移除了可疑使用者dustin87，官方指出，透过反向图片搜寻，使用者个人档案资料的照片来自素材网站，而这些套件所连接的GitHub账号是在3月时被创建。getcookies、express-cookies和http-fetch-cookies这三个套件的下载次数在几个星期前急速攀升，有可能是因为相依的mailparser套件更新了几个版本的原因。

尽管mailparser已经弃用，每周仍有64,000次的下载，不过官方表示，他们确定相依于于http-fetch-cookies的已发布mailparser版本，并没有被以任何方式启动后门模组，因此使用mailparser的开发者并没有收到后门影响。官方推测原因，骇客可能是为了增加express-cookies的下载次数增加合法性，或是想等待更多的使用者下载后，接着一次发动攻击。

总之，调查的结果表示，mailparser套件的后门都没有被启动过，因此不受影响，只有直接使用express-cookies或getcookies套件的用户，才有直接的安全性问题。但是隐忧在于开发者可能使用这些恶意套件，开发私人的应用程序，而也因为超出官方可搜索范围无法评估受害情形，Npm安全团队提醒，开发者需要自行移除这些套件。

而在官方发布这项公告后，在网络论坛Reddit也引发了不少讨论，部分开发人员表示，这个问题并非Npm套件管理器才会发生，类似的平台都可能有这样的情形。但也有些开发者认为，Npm的一些特性，会加剧这样的危险发生，由于Npm的套件趋向小型化，因此套件或是应用程序会大量的依赖外部模组，通常数量高达数百个，而这样的情况使得安全性审查变得困难。另外，Npm套件允许开发者以最小版本号表达相依性，因此只要不更改主版本号码，都被认为是相容的套件，而这也使得在执行Npm install指令安装时，增加审查的困难性。