在 npm 包存储库中发现的两个恶意包隐藏了一个名为 TurkoRat 的开源信息窃取恶意软件。
这些名为 nodejs-encrypt-agent 和 nodejs-cookie-proxy-agent 的软件包总共被下载了大约 1200 次,并且在被识别和删除之前可用了两个多月。
ReversingLabs 分解了该活动的细节,将 TurkoRat 描述为一种信息窃取器,能够收集敏感信息,例如登录凭据、网站 cookie 和加密货币钱包中的数据。
虽然 nodejs-encrypt-agent 内部安装了恶意软件,但发现 nodejs-cookie-proxy-agent 将木马伪装成名称为 axios-proxy 的依赖项。
nodejs-encrypt-agent 还被设计为伪装成另一个合法的 npm 模块,称为 agent-base,迄今为止已被下载超过 2500 万次。
下面列出了流氓软件包及其相关版本的列表 –
-
nodejs-encrypt-agent(版本 6.0.2、6.0.3、6.0.4 和 6.0.5)
-
nodejs-cookie-proxy-agent(版本 1.1.0、1.2.0、1.2.1、1.2.2、1.2.3 和 1.2.4)和
-
axios-proxy(版本 1.7.3、1.7.4、1.7.7、1.7.9、1.8.9 和 1.9.9)
TurkoRat 只是为‘测试’目的提供的众多开源恶意软件系列之一,但也可以很容易地下载和修改以供恶意使用。
调查结果再次强调了威胁行为者通过开源包编排供应链攻击并诱使开发人员下载可能不受信任的代码的持续风险。
开发组织需要仔细检查他们所依赖的开源、第三方和商业代码的特性和行为,以便跟踪依赖关系并检测其中潜在的恶意有效负载。
越来越多地使用恶意 npm 包符合攻击者对开源软件供应链兴趣激增的更广泛模式,更不用说突出威胁参与者的日益复杂。
更令人担忧的是,Checkmarx 的研究人员本月发布了一项新研究,表明威胁行为者如何通过“使用小写字母模仿原始包名称中的大写字母”(例如,memoryStorageDriver 与 memorystoragedriver)来冒充真实的 npm 包。
这种恶意包模拟将传统的‘域名仿冒’攻击方法提升到了一个新的水平,攻击者注册的包名包含与合法字母完全相同的字母,唯一的区别是大写。
这使得用户更难发现欺骗行为,因为很容易忽略大小写的细微差异。
这家供应链安全公司发现,在 3815 个标题中带有大写字母的包中,如果没有 npm 维护者为解决该问题而推出的修复程序,其中 1,900 个可能面临模仿攻击的风险。
该问题自去年 12 月以来一直存在。
该披露还遵循了 Check Point 的另一项咨询,该咨询确定了VS Code 扩展市场上托管的三个恶意扩展。
截至 2023 年 5 月 14 日,它们已被清除。
这些名为 prettiest java、Darcula Dark 和 python-vscode 的附加组件已累计下载超过 46,000 次,并包含允许威胁行为者窃取凭据、系统信息并在受害者机器上建立远程 shell 的功能。
原文始发于微信公众号(网络研究院):用于Node.js的NPM包隐藏危险的TurkoRat恶意软件
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论