恶意NPM包窃取Discord 令牌和信用卡信息等

卡巴斯基在上周发布报告称，NPM 仓库中存在四个包括高度混淆的恶意 Python 和 JavaScript 代码的程序包。

报告指出，这些恶意包在传播 “Volt Stealer” 和 “Lofty Stealer” 恶意软件，收集受害者信息如 Discord令牌和信用卡信息，并实施监控。Volt Stealer 用于窃取 Discord 令牌并从受感染计算机中收割人们的IP地址，之后通过HTTP 被上传给恶意人员。Lofty Stealer 是一个新发现的威胁，可感染 Discord 客户端文件并监控受害者的操作。例如，该恶意软件检测用户何时登录、修改邮件或密码详情或者启用或禁用多因素认证。同时它还监控用户何时新增支付方法，并将收割全部的信用卡详情。这些收集的信息随后被上传至远程端点。

这些程序包名称为 “small-sm”、“pern-valids”、“lifeculer”和“proc-title”。虽然npm 已将这些以恶宝删除，但已经下载这些恶意包的开发人员的应用程序仍然面临风险。

入侵 Discord 令牌

针对 Discord 可触及更多目标，因为被盗 Discord 令牌可用于对受害者的朋友们进行鱼叉式钓鱼攻击。但Fortinet 公司的首席安全战略官兼全球威胁副总裁Derek Manky 指出，组织机构的攻击面将各不相同，具体取决于对多媒体通信平台的使用情况。他解释称，“威胁级别将不会是第一级别如Log4j等，因为围绕攻击面的这些概念与这些向量相关联。”

Discord 用户可防御此类攻击，“当然，和任何遭针对的应用程序一样，覆盖 kill chain 是降低风险和威胁级别的有效方式。”这意味着可设置策略，根据用户资料、分段情况等正确使用 Discord。

为何NPM成为软件供应链攻击的入口点

NPM 软件包仓库拥有超过1100万名用户，程序包的下载量达到数百亿。不论是经验丰富的 Node.js 开发人员还是其他人都在使用NPM包。

这些开源的 NPM 模块用于 Node.js 生产应用和不使用 Mode 的应用的开发工具中。如果开发人员不可避免地拉取恶意包构建应用，则恶意软件可针对该应用的终端用户。如此，此类软件供应链攻击要比攻击某个个体公司更加“事半功倍”。

BluBracket 公司的产品和开发赋能负责人 Casey Bisson 指出，“开发人员普遍应用的情况使其成为庞大目标。”NPM 虽然并未向数量庞大的目标提供攻击向量，但目标本身不只是最终用户。他指出，“企业和个体开发人员都比普通人员拥有更多资源，获得开发人员机器或企业系统滩头堡后，横向攻击通常也会硕果累累。”

Tigera 公司的资深安全研究员 Garwood Pang 指出，虽然 NPM 虽然是最流行的 JavaScript 包管理器之一，但并未所有人都是行家，了解如何使用它。他指出，“这就使得开发人员访问庞大的开源包库，增强其代码安全。然而，得益于易用性和清单数量，经验不足的开发人员可在毫不知情的情况下导入恶意包。”

然而，识别恶意包并非易事。Synopsys 公司的网络安全研究中心首席安全战略师 Tim Mackey 表示，构成一般NodeJS 包的组件数量庞大。他指出，“当同样的问题存在很多不同的合法解决方案时，能够识别出任意功能的正确实现就是困难的。再加上恶意实现可被其它组件引用，任何人都难以判断他们所选择的组件是否按说明那样起作用且不包含或引用非预期功能，更是如此。”

软件供应链攻击在增多

重大供应链攻击对于软件供应链意识提升和决策而言起着重大影响，攻击面监控获得更多投入。

Mackey 指出，软件供应链一直以来均是攻击目标，尤其是从购物车或开发工具的框架攻击来看更是如此。他指出，“我们最近发现，我们曾经归为恶意软件或数据泄露的攻击实际上是对组织机构在创建和使用软件中所放置信任的攻陷。”

Mackey 还提到，很多人认为厂商创建的软件完全是由该厂商开发的，但实际上即使是最简单的软件也是由数百个第三方库构成的，如Log4j就是如此。他表示，“这些库实际上是该应用软件供应链内部的供应方，但使用任何既定供应方的决策是由解决特性问题的开发人员做出的，而非由关注业务风险的商务人员决定的。”

由此催生了软件物料清单要求。另外，5月份MITRE发布了针对信息和通信技术的原型框架，定义并量化了针对包括软件在内的供应链的风险和安全问题。