NPM攻擊
近日有消息稱 註冊了對 NPM 目錄用戶的攻擊, 其中的產品,20 月 XNUMX 日, 放置了超過 15 個包裹 在 NPM 存儲庫中,在其 README 文件中有指向釣魚網站的鏈接或支付了版稅的推薦鏈接。
解析數據包 洩露了 190 個促銷或網絡釣魚鏈接 只有那些涵蓋 31 個域。
20 月 XNUMX 日,星期一,當我們將新信息與我們的數據庫交叉時,Checkmarx Labs 發現了 NPM 生態系統中的異常情況。 包組已經在 NPM 包管理器中大量發布。 進一步調查顯示,這些軟件包是新趨勢攻擊向量的一部分,其中攻擊者使用包含網絡釣魚活動鏈接的軟件包向開源生態系統發送垃圾郵件。 我們在去年 XNUMX 月報導過一次類似的攻擊。
在這種情況下,似乎使用自動化流程在 NPM 和相關用戶帳戶上創建了超過 15 個包。 這些軟件包的描述包含網絡釣魚活動的鏈接。 我們的團隊通知了 NPM 安全團隊。
選擇包名是為了吸引興趣,例如, “free-tiktok-followers”、“free-xbox-codes”、“instagram-followers-free”等。
進行計算以填充最近更新的列表 在帶有垃圾郵件包的 NPM 主頁上。 套餐說明包括承諾提供免費贈品、遊戲作弊和免費服務的鏈接,以在 TikTok 和 Instagram 等社交媒體上吸引粉絲和點贊。 這不是第一次此類攻擊, 144 月有 XNUMX 個垃圾郵件包被發佈到 NuGet、NPM 和 PyPi 目錄。
包的內容由 python 腳本自動生成 這顯然被錯誤地留在了包裹中,並包含了攻擊中使用的工作憑證。 包已經發佈到許多不同的帳戶,使用的方法很難解開線索并快速識別有問題的包。
除了欺詐活動,它還 已經確定了幾次發布惡意包的嘗試 在 NPM 和 PyPi 存儲庫中:
- 在 PyPI451 存儲庫中發現了惡意包,它們使用 typequatting 模擬了一些流行的庫(分配相似的名稱,但各個字符不同,例如 vper 代替 vyper,bitcoinnlib 代替 bitcoinlib,ccryptofeed 代替 cryptofeed,ccxtt 代替 ccxt,cryptocommpare 代替cryptocompare、seleium 代替 selenium、pinstaller 代替 pyinstaller 等)。
- 這些數據包包含一個用於竊取加密貨幣的混淆代碼,該代碼確定剪貼板上是否存在加密錢包標識符並將其切換到攻擊者的錢包(假設在付款時,受害者不會注意到錢包號碼已通過剪貼板)是不同的)。
- 替換是由集成的瀏覽器插件執行的,該插件在訪問的每個網頁的上下文中執行。
- 在 PyPI 存儲庫中發現了許多惡意 HTTP 庫。
- 在 41 個包中發現了惡意活動,這些包的名稱是使用類似 quatting 的方法挑選出來的,並且類似於流行的庫(aio5、request、ulrlib、urlb、libhttps、piphttps、httpxv2 等)。
- 填充被設計成看起來像工作的 HTTP 庫或從現有庫複製的代碼,並且描述聲稱好處和與合法 HTTP 庫的比較。 惡意活動僅限於將惡意軟件下載到系統或收集和發送敏感數據。
- NPM 確定了 16 個 JavaScript 包(speedte*、trova*、lagra),除了聲明的功能(性能測試)之外,還包含在用戶不知情的情況下進行加密貨幣挖掘的代碼。
- NPM 識別出 691 個惡意包。 大多數有問題的軟件包偽裝成 Yandex 項目(yandex-logger-sentry、yandex-logger-qloud、yandex-sendsms 等),並包含將敏感信息發送到外部服務器的代碼。 假設那些放包的人在 Yandex 中構建項目時試圖實現自己的依賴替換(內部依賴替換方法)。
在 PyPI 存儲庫中,同樣的研究人員發現了 49 個包(reqsystem、httpxfaster、aio6、gorilla2、httpsos、pohttp 等),其中包含混淆的惡意代碼,這些代碼從外部服務器下載並運行可執行文件。
終於 如果您有興趣了解更多信息, 您可以在中查看詳細信息 以下鏈接。