資安廠商 CheckPoint 旗下的資安研究人員，近日發現一組共 16 個冒充為網路速度測試工具的 NPM 程式套件，表面上無害，但實際上會盜用受害電腦的資源，為駭侵者挖掘加密貨幣。

NPM 是網路上著名的開源 JavaScript 程式庫，內含 220 萬種以上的開源 JavaScript 程式套件，提供開發人員自由使用，以加速程式開發的速度。

CheckPoint 是在 2023 年 1 月 17 日時發現這些惡意程式套件，全都由一個用戶名稱為「trendava」的 NPM 帳號上傳到 NPM 程式庫中；該公司立即通報 NPM，NPM 則在隔日將這 16 個惡意程式套件下架。

這 16 個惡意 NPM 程式套件，名稱大多和網路速度測試有關，列表如下：

• lagra
• speedtesta
• speedtestbom
• speedtestfast
• speedtestgo
• speedtestgod
• speedtestis
• speedtestkas
• speedtesto
• speedtestrun
• speedtestsolo
• speedtestspa
• speedtestwow
• speedtestzo
• trova
• trovam

CheckPoint 指出，這 16 個惡意軟體，雖然目的都是挖掘加密貨幣，但每個套件中惡意程式碼使用的手法都略有不同。CheckPoint 認為，駭侵者可能是要藉以觀察哪種方式比較不容易遭到防毒防駭機制發覺阻擋。

鑑於這類開放程式庫中經常混入駭侵者上傳的惡意套件，建議程式開發者在利用這些方便的套件前，必須先仔細檢視其 source code，以辨識其中是否夾帶惡意程式碼。

• 參考連結

Check Point CloudGuard Spectral detects malicious crypto-mining packages on NPM – The leading registry for JavaScript Open-Source packages

https://blog.checkpoint.com/2023/02/14/check-point-cloudguard-spectral-detects-malicious-crypto-mining-packages-on-npm-the-leading-registry-for-javascript-open-source-packages/

NPM packages posing as speed testers install crypto miners instead

https://www.bleepingcomputer.com/news/security/npm-packages-posing-as-speed-testers-install-crypto-miners-instead/