The Hacker News 昨日发布博文，这两个恶意软件包分别为 img-aws-s3-object-multipart-copy 和 legacyaws-s3-object-multipart-copy，目前分别已被下载 190 次和 48 次，截至发稿为止，这两个恶意软件包已被 npm 安全团队清理。

　　软件供应链安全公司 Phylum 在一份分析报告中说：“这些软件包含隐藏在图像文件中的复杂命令和控制功能，这些命令和控制功能将在软件包安装过程中执行”。

　　这两个软件包会冒充名为 aws-s3-object-multipart-copy 的合法 npm 库，但附带了一个经过修改的“index.js”文件版本，用于执行一个 JavaScript 文件。

　　该 JavaScript 文件通过发送主机名和操作系统详细信息，在命令与控制服务器上注册新客户端，然后会尝试每隔五秒定期执行攻击者发布的命令。

　　注：npm 是 Node.js 默认的、用 JavaScript 编写的软件包管理系统。