Microsoft 的漏洞研究團隊在 npm(Node Package Manager) 存儲庫中發現了一個惡意JavaScript 程序包，可從 UNIX 系統竊取敏感信息。

該惡意軟件包名為1337qq-js，于 2019 年 12 月 30 日上傳到 npm 存儲庫中。目前，該惡意軟件包已被npm 的安全團隊刪除。在此之前，該軟件包至少被下載了 32 次。

根據 npm 安全團隊的分析，該軟件包通過安裝腳本來泄漏敏感信息，并且僅針對 UNIX 系統。

它收集的數據類型包括：

環境變量

運行過程

/ etc / hosts

優名

npmrc文件

其中，竊取環境變量則被視為重大安全漏洞。npm 團隊建議所有在其項目中下載或使用此 JavaScript 程序包的開發人員從其系統中刪除該程序包，并輪換使用任何compromised的憑據。

事實上，這是惡意軟件包第六次被放入 npm 存儲庫索引，此前的五次分別為：

2019年 6月-黑客將電子本地通知庫進行后門操作，以插入到達 Agama 加密貨幣錢包的惡意代碼。

2018年11月-一名黑客借殼了the event-stream npm 程序包，以將惡意代碼加載到 BitPay Copay 桌面和移動錢包應用程序內部，并竊取加密貨幣。

2018年 7月-黑客利用旨在竊取其他開發人員的 npm 憑據的惡意代碼破壞了 ESLint 庫。

2018年5月-黑客試圖在名為 getcookies 的流行 npm 包中隱藏后門。

2017年4月-黑客利用敲詐手段在 npm 上載了 38 個惡意 JavaScript 庫，這些庫被配置為從使用它們的項目中竊取環境細節。