PostCSS npm Typosquat: How to Check If Your Machine Is Compromised

Three malicious npm packages — postcss-minify-selector-parser, postcss-minify-selector, and aes-decode-runner-pro — have been impersonating the legitimate PostCSS selector parser library and silently installing a Windows RAT on developer machines. Published by a single npm account, the packages use AES-256-GCM encrypted payloads, download a second-stage ZIP from a fake NVIDIA domain, and deploy Nuitka-compiled Python modules that establish persistence via a Windows registry run key and connect to a C2 server. A dedicated module targets Chrome saved credentials using Windows DPAPI. Detection steps include checking npm dependency trees, scanning %TEMP% for specific directories and files, inspecting the registry for a 'csshost' entry, and monitoring network traffic to a known C2 IP. Remediation requires isolating the machine, removing the packages, deleting artifacts, rotating all Chrome-stored credentials, and notifying security teams on corporate devices.

Nguồn: https://latesthackingnews.com/2026/06/24/malicious-npm-packages-postcss-rat-detection. 8sync News chỉ tóm tắt và dẫn link; bản quyền nội dung thuộc tác giả và nguồn gốc.

Đề xuất cho bạn

Node Weekly12 phút8 giờ trướcAI

Issue #630: Node.js 26.4 lands package maps — Node Weekly

Node.js 26.4 bổ sung hỗ trợ thử nghiệm package maps (giải quyết package từ file JSON tĩnh thay vì duyệt node_modules) và bắt đầu giới thiệu subsystem node:vfs của Matteo Collina. Bản tin cũng đề cập đến phân tích về hạn chế bảo mật của npm v12 khi chặn script cài đặt mặc định, bài viết suy đoán về npm chạy trên AT Protocol, TypeScript 7.0 RC với compiler Go nhanh gấp 10 lần, và framework Eve của Vercel cho xây dựng AI agent theo cấu trúc Next.js.

Lập trình viên nên đọc để cập nhật về Node.js 26.4, đặc biệt là tính năng mới về package maps (tối ưu hóa giải quyết phụ thuộc từ JSON thay vì khám phá node_modules) và vfs subsystem của Matteo Collina, giúp cải thiện hiệu suất và quản lý dự án.