npm 生态系统遭唯一执行链攻击

网络安全研究员发现针对npm生态系统的新型攻击活动，利用一个唯一执行链向目标系统交付未知的 payload。

软件供应链公司 Phylum 在上周发布的一份报告中提到，“所述程序包似乎是成对发布的，每一对一起提取随后可被解码和/或执行的额外资源。”为此，这些程序包的安装顺序对于触发成功攻击至关重要，因为两个模块中的第一个模块是为了在本地存储检索自远程服务器的令牌。该攻击活动首次在2023年6月11日被发现。第二个程序包随后将该令牌作为参数与操作系统类型一起被传递给 HTTP GET 请求，获取该远程服务器的第二个脚本。成功执行返回一个通过 Base64编码的字符串，且该字符串被立即执行，但前提是该字符串的长度超过100个字符。

Phylum 公司披露称，该端点目前返回的字符串是"bm8gaGlzdG9yeSBhdmFpbGFibGU=,"，它被解码为“无可用历史”，表明攻击仍然在运行过程中，或者仅在特定时间段返回 payload。这一行为的另外一个假设是，它依赖于 IP 地址，而当生成该令牌时，源自第一个程序包的请求正是从该IP地址发送的。

攻击者的身份目前尚不清楚，尽管从执行该攻击的时长以及采取各种措施动态交付下一阶段的payload 情况来看，它可能是复杂的供应链威胁。Phylum 公司提到，“每对中的每个程序包以正确的顺序执行，以及在相同机器上执行以确保成功攻击非常重要。这种谨慎的协同攻击警醒我们，现代威胁行动者在开源生态系统中的复杂程度不断增强。”

此前不久，Sonatype 公司发布位于 PyPI 仓库中由名为 “broke” 的单个账号上传的的六个恶意包。该公司提到，“这些程序包针对的是 Windows 操作系统，从版本控制来看，它们非常相似。安装后，程序包会下载并运行托管在 Discord 服务器上的一个木马。”

Sonatype 公司还发现了名为 “libiobe” 的程序包可攻击Windows 和 Linux 操作系统。在运行 Windows 的机器上，该程序包传播信息窃取工具；而在 Linux 系统中，则收集系统信息并发回到某个 Telegram 端点中。该公司提到，“难以确认谁最终会通过这些名称运行程序包或者他们针对的目标是谁。虽然这些程序包可能不会应用任何新型的payload 或技术，或者拥有明显的目标，但它们是对正在进行的恶意攻击的一种证明，这些攻击活动的目标是开源软件注册表如 PyPI 和 npm。”