#安全资讯 React 组件库 Gluestack 出现多个恶意软件包且周下载量高达 100 万次，估计大量开发者的设备和项目已经被感染。这些恶意软件包包含远程访问木马，被激活后会连接攻击者的 C2 服务器接收命令，同时还会篡改开发者执行的 Python 和 pip 命令。查看全文：https://ourl.co/109286

用于托管 React 和 React Native 组件库的 Gluestack 日前出现多个恶意软件包，这些恶意软件包被感染远程访问木马 (RAT)，这些软件包会执行恶意 Python 和 pip 命令以实现更多目的。

研究人员在 Gluestack 上发现至少 17 个已经被感染的软件包，这些软件包的周下载量高达 100 万次，考虑到如此恐怖的下载量，估计已经有大量开发者的设备遭到感染，这也是典型的供应链攻击。

根据研究人员的分析，这些远程访问木马在被激活后会连接到攻击者的 C2 服务器用于接收其他命令，其中包括上传单个或多个文件的能力，这也可以用来窃取项目数据。

远程访问木马还会执行 Windows PATH 劫持并静默覆盖开发者运行的 Python 和 pip 命令，因此可能很多开发者在完全不知情的情况下项目就被感染木马并随之进行传播。

作为应对措施 Gluestack 撤销用于发布受感染软件包的访问令牌，所有受感染的软件包也已经在 NPM 上被标记为已弃用，但 Gluestack 称由于依赖软件包问题，无法直接取消发布受感染的版本，作为应对措施目前只能弃用受影响的版本并更新 latest 标签将其指向安全的旧版本。

开发者应当检查自己是否安装过以下受感染的软件包：

• @react-native-aria/button
• @react-native-aria/checkbox
• @react-native-aria/combobox
• @react-native-aria/disclosure
• @react-native-aria/focus
• @react-native-aria/interactions
• @react-native-aria/listbox
• @react-native-aria/menu
• @react-native-aria/overlays
• @react-native-aria/radio
• @react-native-aria/switch
• @react-native-aria/toggle
• @react-native-aria/utils
• @gluestack-ui/utils
• @react-native-aria/separator
• @react-native-aria/slider
• @react-native-aria/tabs

如果安装过这些软件包则应该重新编译项目将其更新到最新版，由于最新版也就是 latest 标签已经指向旧的安全版本，因此重新编译后应该可以确保项目使用的都是没有危害的软件包。