Microsoft的漏洞研究團隊在npm（Node Package Manager）存儲庫中發現了一個惡意JavaScript程序包，可從UNIX系統竊取敏感信息。該惡意軟件包名為1337qq-js，於2019年12月30日上傳到npm存儲庫中。目前，該惡意軟件包已被npm的安全團隊刪除。在此之前，該軟件包至少被下載了32次。

根據npm 安全團隊的分析，該軟件包通過安裝腳本來洩漏敏感信息，並且僅針對UNIX 系統。

它收集的數據類型包括：

• 環境變量
• 運行過程
• / etc / hosts
• 優名
• npmrc文件

其中，竊取環境變量則被視為重大安全漏洞。npm 團隊建議所有在其項目中下載或使用此JavaScript 程序包的開發人員從其係統中刪除該程序包，並輪換使用任何 compromised 的憑據。

事實上，這是惡意軟件包第六次被放入npm 存儲庫索引，此前的五次分別為：

• 2019 年6月 -黑客將電子本地通知庫進行後門操作，以插入到達Agama 加密貨幣錢包的惡意代碼。
• 2018 年11月 -一名黑客借殼了the event-stream npm 程序包，以將惡意代碼加載到BitPay Copay 桌面和移動錢包應用程序內部，並竊取加密貨幣。
• 2018 年7月 -黑客利用旨在竊取其他開發人員的npm 憑據的惡意代碼破壞了ESLint 庫。
• 2018年 5月 -黑客試圖在名為getcookies 的流行npm 包中隱藏後門。
• 2017 年 4月 -黑客利用敲詐手段在npm 上載了38 個惡意JavaScript 庫，這些庫被配置為從使用它們的項目中竊取環境細節。