重大SBOM风险预警 | 总下载量超百万次开源NPM组件被投毒

SBOM情报概述

Summary

近日（2025.03.25），悬镜供应链安全情报中心在NPM官方仓库（www.npmjs.com）中捕获1起针对全球知名薪酬数据统计平台 PayScale 旗下开源NPM组件 country-currency-map的供应链投毒事件。country-currency-map 是一款可以帮助前端开发人员快速获取货币和国家/地区关系，便于开发国际化应用的开源组件。截至目前 country-currency-map 组件在NPM官方仓库总下载量已超过百万次。

图片

country-currency-map 项目主页

country-currency-map组件的上个版本（2.1.7）发布时间为 2020年4月7号，时隔5年后（2025.03.25），PayScale 官方账号（npm@payscale.com）在NPM上发布最新版本 2.1.8，而该版本组件代码被投毒者植入混淆的恶意代码， 一旦安装该组件则会静默触发执行恶意代码，其主要功能是启动定时器，每隔5分钟将受害者系统的环境变量数据发送到投毒者服务器，倘若系统环境变量中保存开发者的业务系统私钥、API Token等敏感凭证，将进一步加剧业务系统遭受供应链攻击的风险。

目前country-currency-map组件仍正常托管在NPM官方仓库及国内各大主流镜像源，对于NPM开发者来说存在较大安全隐患。悬镜安全已于第一时间将该组件投毒的详细技术分析向XSBOM供应链安全情报订阅用户进行推送预警。

图片

PayScale NPM项目列表

根据NPM官方接口统计，country-currency-map 组件仅NPM官方仓库总下载量已超过百万次（1175713）。

https://npm-stat.com/api/download-counts?from=2017-01-01&until=2025-03-26&package=country-currency-map

Github上的country-currency-map项目源码为2.1.7安全版本，未遭受投毒攻击。此外，根据Github项目依赖统计数据，超过170个github开源项目使用country-currency-map组件。考虑到该开源组件的下载量以及使用量，此次投毒攻击是个典型的供应链攻击事件，而攻击根源我们推测是PayScale平台的NPM账号密码或NPM auth token被投毒者盗取导致。

图片

依赖country-currency-map组件的开源项目

投毒分析

Poisoning Analysis

=1

代码混淆

country-currency-map组件最新2.1.8版本的package.json文件被投毒者植入postinstall指令实现安装时静默执行"node ./scripts/launch.js"命令。

图片

postinstall恶意指令

scripts/launch.js 文件代码被混淆保护，如下所示：

图片

launch.js代码混淆

scripts/launch.js 混淆代码还原后，主要代码功能是调用child_process模块进一步执行同目录下的JS文件 scripts/diagnostic-report.js。

图片

launch.js混淆代码还原

diagnostic-report.js文件同样被混淆处理，如下图所示：

图片

diagnostic-report.js代码混淆

2

系统环境变量外传

diagnostic-report.js 混淆代码还原后，其恶意代码主要功能是通过setTimeout()接口启动定时器，每隔5分钟调用collectEnv()函数将系统环境变量数据进行base64编码后再外传到投毒者webhook接口（https://eoi2ectd5a5tn1h.m.pipedream.net）。

图片

diagnostic-report.js窃取系统环境变量信息

3

IoC 数据

本次捕获的NPM投毒组件包涉及的IoC数据如下表所示：

图片

排查方式

Investigation Method

1. 开发者可通过命令 npm list country-currency-map@2.1.8 在项目目录下使用查询是否已安装存在恶意投毒的组件版本，如果已安装请立即使用 npm install country-currency-map@2.1.7 将存在投毒的版本卸载并回退到安全版本。此外还需关闭系统网络并排查系统是否存在异常进程。

2. 此外，也可使用 OpenSCA-cli 工具将受影响的组件包按如下示例保存为db.json文件，直接执行扫描命令（opensca-cli -db db.json -path ${project_path}），即可快速获知您的项目是否受到投毒包影响。

[  {    "product": "country-currency-map",    "version": "[2.1.8]",    "language": "javascript",    "id": "XMIRROR-MAL45-DE0AF19",    "description": "country-currency-map组件2.1.8版本存在代码投毒窃取系统环境敏感信息",    "release_date": "2025-03-25"  }]

悬镜供应链安全情报中心是国内首个数字供应链安全情报研究中心。依托悬镜安全团队强大的供应链SBOM管理与监测能力和AI安全大数据云端分析能力，悬镜云脉XSBOM数字供应链安全情报预警服务通过对全球数字供应链投毒情报、漏洞情报、停服断供情报等进行实时动态监测与溯源分析，可为用户智能精准预警“与我有关”的数字供应链安全情报，提供情报查询、情报订阅、可视化关联分析等企业级服务。