開源資安公司Socket揭露一個名為merchant-advcash的NPM套件,其表面上聲稱支援Advcash金流整合,實則於付款成功時觸發反向Shell,將伺服器權限交由攻擊者遠端控制。該攻擊行為未在套件安裝或匯入時啟動,而是延遲至使用者完成支付流程後才暗地執行,明確鎖定實際部署於電商平臺的生產環境。
反向Shell是一種常見的攻擊手法,讓駭客能在受害系統主動發起連線後,遠端取得該系統的指令列控制權。與其從外部強行入侵,攻擊者設計程式讓目標伺服器在特定時機自己連回駭客機器,建立一條可雙向傳輸指令的通道。一旦連線成功,攻擊者便能在背後執行任意指令、存取資料,甚至橫向攻擊其他系統。
Advcash常見於諸如加密貨幣交易、高風險投資、線上博弈等灰色市場或高風險電子商務應用網站。此NPM套件偽裝成開發者整合工具,實作包括金額雜湊、商家驗證與交易狀態更新等看似正當的功能。研究人員指出,該模組在處理交易成功通知的url_success()回呼函式,內嵌一段以Node.js撰寫的即時反向Shell程式碼,使用child_process與net模組連線至IP 65.109.184.223、埠號為8443的遠端主機,並將/bin/sh的標準輸入與輸出完整轉交給該連線。
該攻擊行為高度隱匿,並藉由付款成功此業務邏輯節點,掩護惡意程式的執行時機,繞過常見的套件安裝監測、靜態掃描與CI工作管線稽核。研究人員表示,其撰寫手法明顯異於低階垃圾套件,而是建構出一個具實際商業邏輯的伺服器端整合模組,具有更高的可信度與部署機會,也更容易被企業系統採用。
研究人員認為,此種攻擊方式顯示出惡意行為者對目標環境的熟悉程度與技術熟練度,其目的可能是針對特定場景的交易系統進行滲透。雖然該套件目前已由NPM官方下架,但對於電商平臺、第三方支付整合開發者及資訊安全團隊而言,在處理金流、帳務與用戶操作密切相關的流程,更應注重供應鏈安全防護。
研究人員建議開發者導入如CLI掃描器與GitHub拉取請求監控等機制,強化對第三方相依項目的動態與靜態檢查,避免單純仰賴套件描述或README等表面資訊評估其安全性。
