【高危】NPM组件 nodemantle002 等窃取主机敏感信息

当用户安装受影响版本的 nodemantle002 等NPM组件包时会窃取用户的主机名、用户名、工作目录、IP地址等信息并发送到攻击者可控的服务器地址。

影响组件	受影响的版本	最小修复版本
lunasec-sdks	[55.3.1, 55.3.1]	-
lz-evm-sdk-v1	[2.9.90, 2.9.90]	-
node-log-streamer	[1.4.12, 1.4.12]	-
systemjs-builder-test	[55.3.1, 55.3.1]	-
definitelytyped-tools	[1.0.0, 99.99.98]	-
oft-evm	[7.1.1, 7.1.1]	-
rjs-test	[55.3.1, 55.3.1]	-
@emersonecologics/emerson-angular-trove	[99.99.99, 99.99.101]	-
nodemantle002	[2.3.1, 6.2.1]	-
baileys-cleaner	[1.0.0, 1.9.7]	-
what_type_of_self_indulgent_sub-par_challenge_is_this	[1.4.7, 1.4.9]	-
comcastapp	[1.3.6, 1.4.6]	-
nodestream-log	[1.0.12, 1.0.12]	-
@cognam/shared-project	[1.0.0, 1.0.61]	-
restpilot	[1.0.11, 1.0.11]	-
libramat283	[4.1.12, 4.1.12]	-
lz-evm-protocol-v2	[3.1.99, 3.1.99]	-
react-fixtures-ssr	[0.0.1, 55.3.1]	-
n8n-nodes-zalo-user-v2	[0.0.22, 0.0.28]	-
frontend-redux	[55.3.1, 55.3.1]	-
wevv9991	[1.0.0, 1.0.2]	-

https://www.oscs1024.com/hd/MPS-qrk7-ayms

排查是否安装了受影响的包：
使用墨菲安全软件供应链安全平台等工具快速检测是否引入受影响的包。
立即移除受影响包：
若已安装列表中的恶意包，立即执行 npm uninstall <包名>，并删除node_modules和package-lock.json后重新安装依赖。
全面检查系统安全：
运行杀毒软件扫描，检查是否有异常进程、网络连接（重点关注境外 IP 通信），排查环境变量、配置文件是否被窃取（如数据库密码、API 密钥等），必要时重置敏感凭证。
加强依赖管理规范：

墨菲安全为您免费提供一键排查全公司开源组件漏洞&投毒风险服务，可一键接入扫描全公司的代码仓库、容器镜像仓库、主机、制品仓库等。

试用地址：https://www.murphysec.com/apply?code=OSUK

提交漏洞情报：https://www.murphysec.com/bounty

包名：nodemantle002@[2.3.1, 6.2.1]
攻击目标：安装该包的开发者主机/项目
理由：包名可能伪装成工具库，安装后窃取主机敏感信息，直接影响使用该包的开发环境。
包名：lz-evm-sdk-v1@2.9.90
攻击目标：区块链开发项目/开发者
理由：含“evm-sdk”，可能用于以太坊开发，窃取开发者主机信息，定向影响区块链相关项目。
包名：definitelytyped-tools@[1.0.0, 99.99.98]
攻击目标：TypeScript开发社区/项目
理由：与DefinitelyTyped相关，用于TypeScript类型管理，窃取开发者信息，影响TypeScript生态项目。