5月11日,網(wǎng)絡(luò)安全研究人員在NPM注冊(cè)表中發(fā)現(xiàn)了一些惡意軟件包,專門(mén)針對(duì)一些位于德國(guó)的知名媒體、物流和工業(yè)公司進(jìn)行供應(yīng)鏈攻擊。
JFrog研究人員在一份報(bào)告中表示,“與NPM庫(kù)中發(fā)現(xiàn)的大多數(shù)惡意軟件相比,這一有效負(fù)載危險(xiǎn)性更高。它是一個(gè)高度復(fù)雜的、模糊的惡意軟件,攻擊者可以通過(guò)后門(mén)完全控制被感染的機(jī)器?!?/p>
DevOps公司表示,根據(jù)現(xiàn)有證據(jù),這要么是一個(gè)復(fù)雜的威脅行為,要么是一個(gè)“非常激進(jìn)”的滲透測(cè)試。
目前,大部分惡意軟件包已經(jīng)從注冊(cè)表中移除,研究人員追蹤到四個(gè)“維護(hù)者”bertelsmannnpm、boschnodemodules、stihlnodemodules和dbschenkernpm,這些用戶名表明其試圖冒充像貝塔斯曼、博世、Stihl和DB Schenker這樣的合法公司。
“維護(hù)者”bertelsmannnpm
一些軟件包的名稱非常具體,它意味著對(duì)手設(shè)法識(shí)別了公司內(nèi)部存儲(chǔ)庫(kù)中的庫(kù)以進(jìn)行依賴混淆攻擊。
上述發(fā)現(xiàn)來(lái)自Snyk的報(bào)告,該報(bào)告詳細(xì)描述了其中一個(gè)違規(guī)的軟件包“gxm-reference-web-aut -server”,并指出惡意軟件的目標(biāo)是一家在其私有注冊(cè)表中有相同軟件包的公司。
Snyk安全研究團(tuán)隊(duì)表示:“攻擊者很可能在該公司的私人注冊(cè)表中,掌握了這樣一個(gè)包的存在信息?!?/p>
Reversing實(shí)驗(yàn)室證實(shí)了黑客攻擊行為,稱上傳至NPM的惡意模塊版本號(hào)比私有模塊的版本號(hào)更高,從而迫使模塊進(jìn)入目標(biāo)環(huán)境,這是依賴混淆攻擊的明顯特征。
該實(shí)驗(yàn)室解釋“運(yùn)輸和物流公司的目標(biāo)私有軟件包有0.5.69和4.0.48版本,與惡意軟件包的公開(kāi)版本名稱相同,但其使用的是版本0.5.70和4.0.49?!?/p>
JFrog稱這種植入是“內(nèi)部開(kāi)發(fā)”,并指出該惡意軟件包含兩個(gè)組件,一個(gè)是傳輸器,它在解密和執(zhí)行JavaScript后門(mén)之前,向遠(yuǎn)程遙測(cè)服務(wù)器發(fā)送有關(guān)被感染機(jī)器的信息。
后門(mén)雖然缺乏持久性機(jī)制,但設(shè)計(jì)用于接收和執(zhí)行硬編碼的命令和控制服務(wù)器發(fā)送的命令,評(píng)估任意JavaScript代碼,并將文件上傳回服務(wù)器。
研究人員稱,這次攻擊的目標(biāo)非常明確,并且其掌握了非常機(jī)密的內(nèi)部信息,甚至在NPM注冊(cè)表中創(chuàng)建的用戶名公開(kāi)指向目標(biāo)公司。
在此之前,以色列網(wǎng)絡(luò)安全公司Check Point披露了一項(xiàng)長(zhǎng)達(dá)數(shù)月的信息竊取活動(dòng),該活動(dòng)使用AZORult、BitRAT、Raccoon等商用惡意軟件攻擊德國(guó)汽車行業(yè)。
參考鏈接:
https://thehackernews.com/2022/05/malicious-npm-packages-target-german.html
當(dāng)?shù)貢r(shí)間3月21日,聯(lián)合國(guó)大會(huì)一致通過(guò)了全球第一個(gè)關(guān)于人工智
近日,研究人員了披露了一個(gè)有關(guān) Saflok 電子 RFID
Gartner于2022年首次發(fā)布《2022年中國(guó)安全技術(shù)成
近期國(guó)務(wù)院學(xué)位委員會(huì)、教育部印發(fā)通知,發(fā)布《研究生教育學(xué)科
國(guó)內(nèi)證監(jiān)會(huì)發(fā)布《證券期貨業(yè)數(shù)據(jù)安全管理與保護(hù)指引》等7項(xiàng)金融
029-63648670
zoyink@zoyink.com
關(guān)注
官方微信