聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
软件供应链安全公司 Phylum 表示,该攻击与6月份发现的一起攻击之间存在类似行为,后者当时被指由朝鲜黑客发动。
在8月9日至12日期间,共有9个包被上传到 npm中,包括ws-paso-jssdk、pingan-vue-floating、srm-front-util、cloud-room-video、progress-player、ynf-core-loader、ynf-core-renderer、ynf-dx-scripts 和 ynf-dx-webpack-plugins。
该公司表示,“鉴于该攻击的复杂性质以及受影响包相对较少,我们怀疑这是另外一起高度针对性攻击,其中很可能牵涉社工技术,目的是诱骗目标安装这些包。”该攻击连以预装 hook 的 package.json 文件开始,当安装包时,该 hook 就会执行 index.js 文件。之后,它使用合法的 pm2 模块作为依赖,启动守护进程流程,执行另外一个 JavaScript 文件 app.js。
该 JavaScript 代码旨在与远程服务器 “ql.rustdesk[.]net” 启动加密的双向通信,当该包安装45秒后,就会传递关于受陷主机的基础信息。”ql.rustdesk[.]net” 是一个受欺骗的域名,它伪装成合法的 RustDesk 远程桌面软件。之后该恶意软件每隔45秒就等待进一步指令,随后解码并执行。
研究人员指出,“攻击者似乎在监控机器 GUID 并选择性地(以加密 JavaScript 的形式)将其它 payload 发布到感兴趣的任何机器。”
此前不久,研究人员在npm 上发现了一个热门以太坊包的typosquat 版本,它旨在将 HTTP 请求发送到包含用户加密密钥的服务器上。热门 NuGet 包 Moq 上周发布新版本 4.20.0和4.20.1后饱受批评,因为新版本中含有一个新的依赖 SponsorLink,从本地 Git 配置中提取开发人员邮件地址的 SHA-256哈希,并在用户不知情的情况下将其发送到某云服务中。这一饱受争议的更改引发了 GDPR 合规问题,目前已回滚至4.20.2。但损害可能已经造成,据 Bleeping Computer 报道称,Amazon Web Services (AWS) 已消除与项目的关联。
研究人员提到,“我认为,作者的意图并非引起损害,但最后的结果是损害了用户的信任。如果在发布新变更进行公开讨论并获取用户同意,那么这种问题本可避免。”
此前,组织机构被指越来越多地易受依赖混淆攻击,可导致开发人员在不知情的情况下将易受攻击或恶意代码引入项目,从而导致大规模的供应链工具。
作为依赖混淆攻击的缓解措施,建议在组织机构内发布内部程序包,并在公开注册表中将内部包名称转换为占位符以防止滥用。
https://thehackernews.com/2023/08/north-korean-hackers-suspected-in-new.html
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
原文始发于微信公众号(代码卫士):朝鲜黑客被指发动大规模 npm 恶意包攻击
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论