NPM 再次遭受惡意數據包氾濫導致拒絕服務
信息發布了關於 NPM 中出現的問題和 是那個黑客嗎淹沒了存儲庫 Node.js 的 npm 開源包 假包 甚至短暫地觸發了拒絕服務 (DoS) 攻擊。
雖然最近 已經看到類似的活動 傳播網絡釣魚鏈接,最新一波已使軟件包版本數量達到 1,42 萬個,與 npm 上發布的大約 800,000 萬個軟件包相比有了顯著增長。
它 黑客創建惡意網站並發布空包 包含指向這些惡意網站的鏈接,利用開源生態系統在搜索引擎中的良好聲譽,加上攻擊導致拒絕服務 (DoS),使 NPM 不穩定並出現零星的“服務不可用”錯誤“»。
過去一年,我們在開源生態系統中看到了垃圾郵件活動,但本月是迄今為止我們所見過的最糟糕的一次。
攻擊者顯然發現未經驗證的開源生態系統很容易成為針對各種惡意活動執行 SEO 中毒的目標。 只要名字不被佔用,他們就可以發布無限數量的包。
通常為 NPM 發布的包版本數在 800*000 左右。 然而,在上個月,由於大量垃圾郵件活動,這個數字超過了 1,4 萬。
攻擊技術利用了 開源存儲庫在搜索引擎結果中排名更高的事實 創建惡意網站並下載空的 npm 模塊 在 README.md 文件中包含指向這些站點的鏈接。
在這種攻擊方法中,網絡罪犯創建惡意網站並發布帶有這些惡意網站鏈接的空包。 由於開源生態系統在搜索引擎中享有很高的聲譽,因此所有新的開源軟件包及其描述都繼承了這種良好聲譽並在搜索引擎中獲得了良好的索引,從而使非用戶更容易看到它們。
由於整個過程是自動化的,發布許多軟件包造成的負擔導致 NPM 在 2023 年 XNUMX 月底間歇性地遇到穩定性問題。因此,據稱此活動的目標是用惡意 .exe 感染受害者文件。
在所使用的不同技術中,特別提到 使用“誘餌”並且這基本上是 帶有“誘人的軟件描述”的包裹 給用戶,使受害者更有可能搜索並登陸這些 npm 頁面。
從那時起,同一個用戶就是為被感染做一切必要的事情的人, 因為當您單擊短鏈接時,會出現一個看似合法的自定義網站,但託管在黑客的基礎設施上,並提供 warez 軟件的下載。
這將下載一個密碼加密的 zip 文件,該文件在解壓縮時會創建一個大小約為 600MB 的未填充 .exe 文件。 該技術用於避免被 EDR 檢測到。
使用的另一種技術 提到的是一個 包括 DLL 側載, 避免虛擬化/沙盒,禁用工具和防火牆,刪除 Glupteba、RedLine、Smoke Loader、xmrig 等工具以竊取憑據和挖掘加密貨幣。
此外,也 有人提到 襲擊者 鏈接到全球速賣通等零售網站 使用他們創建的推薦 ID,從而從推薦獎勵中受益。
此活動的規模很大,因為負載導致 NPM 變得不穩定,並出現零星的“服務不可用”錯誤。
因此, NPM應該對此事採取行動 並杜絕存儲庫中不斷出現的這些類型的問題,因為它基本上已成為黑客的“目標”。