36个恶意npm包伪装成Strapi插件部署后门并窃取凭据

SafeDep研究人员在npm注册表中发现了36个恶意包，伪装成Strapi CMS社区插件。所有包都遵循"strapi-plugin-"命名模式，与使用"@strapi/"作用域的官方插件相似但不同。 恶意代码嵌入在postinstall脚本中，在"npm install"时自动执行，无需用户交互，并以安装用户的权限运行。攻击经历了八个载荷变体的演进：从Redis RCE和Docker容器逃逸，到侦察和数据收集，再到使用硬编码凭据直接访问PostgreSQL，最终安装针对特定主机名的持久性植入物。 安装了这36个包中任何一个的用户应立即假定已受到攻击并轮换所有凭据。