发现被木马感染的 jQuery:针对 NPM 的大范围的供应链攻击

admin
admin
admin
109529
文章
90
评论
2024年7月5日13:47:24评论0 views字数 3320阅读11分4秒阅读模式

Phylum的网络安全研究人员发现了一种针对流行的 JavaScript 库 jQuery 的复杂且持续的供应链攻击。此次攻击自 5 月底开始,通过 npm(节点包管理器)存储库、GitHub 和 jsDelivr 内容分发网络 (CDN) 上的数十个包分发 jQuery 的木马版本。

发现被木马感染的 jQuery:针对 NPM 的大范围的供应链攻击

攻击者巧妙地修改了合法的 jQuery 代码,将恶意代码插入“end”函数中,该函数是 jQuery 原型的一部分,通常会被其他常用函数(如“fadeTo”)间接调用。这种微妙的改变使攻击者能够从使用受感染 jQuery 版本的网站窃取敏感的表单数据。

此次攻击的范围值得关注,恶意的jQuery 变体遍布多个平台,并且以各种软件包名称存在。攻击者还采用了多种策略,包括混淆、误导性版本警告以及使用合法的 CDN 来掩盖其恶意活动。

虽然此次攻击的具体目标尚不清楚,但木马程序包的广泛传播表明,对不知情地纳入恶意代码的开发人员和网站可能会产生广泛影响。受影响程序包看似随机,再加上恶意软件的复杂性质,令人怀疑攻击者的动机和能力。

鉴于此次攻击仍在持续,我们敦促开发人员和网站所有者在从 npm 或其他来源安装 jQuery 软件包时务必谨慎。验证软件包的真实性,仔细检查代码是否有任何可疑的修改,并考虑使用可以检测和缓解供应链攻击的安全工具。

此次攻击活动中相关的npm包

发布时间 名称 版本
2024-06-23 icnes 8.0.0
2024-06-23 stylesyosx 9.0.3
2024-06-22 imagegs 1.0.0
2024-06-22 yorz 3.0.0
2024-06-21 kurxjy 9.0.0
2024-06-20 kinthailxzz 1.0.0
2024-06-19 ganz 2.0.1
2024-06-19 kikos 1.0.0
2024-06-17 rgmedia 3.7.2
2024-06-17 rgmedia21 3.7.3
2024-06-17 ngentot 3.7.1
2024-06-17 mediaa 2.0.0
2024-06-16 jquerrty 3.0.0
2024-06-16 styyle 3.0.0
2024-06-16 my-gh 8.0.1
2024-06-16 sytlesheets 3.0.0
2024-06-16 stylessheet 3.0.0
2024-06-15 styleshteks 2.0.0
2024-06-15 fontawessome 9.0.1
2024-06-15 fontawesom-1 9.0.1
2024-06-14 nesiahanzz 1.0.0
2024-06-14 dsiailon 1.0.0
2024-06-14 footersicons 3.0.0
2024-06-14 footericonss 3.6.0
2024-06-14 footericonds 3.7.1
2024-06-14 fontawesome-3 2.0.0
2024-06-14 fontawesom-4 2.0.0
2024-06-13 jquertyi 3.6.4
2024-06-13 fontawesome-2 9.0.1
2024-06-13 stylishteksz 2.0.0
2024-06-13 stylescss 9.0.1
2024-06-12 dsiain 1.0.0
2024-06-11 logoo 2.0.0
2024-06-11 stylishhteks 2.0.1
2024-06-10 imagezz 1.0.0
2024-06-10 stylishtekss 3.0.0
2024-06-10 stylesheeet 9.0.1
2024-06-09 dnuhstng 2.0.0
2024-06-09 stylishteks 2.0.0
2024-06-09 mobiletrack 9.0.0
2024-06-09 fontaway 9.0.0
2024-06-08 sttylee 9.0.1
2024-06-06 kontolq 9.0.1
2024-06-06 kimakq 9.0.1
2024-06-05 awokkdyaa 9.0.1
2024-06-05 vxcs 9.0.1
2024-06-05 kimakz 9.0.1
2024-06-05 xhyp 9.0.1
2024-06-05 xytta 1.0.0
2024-06-05 livinjs 1.0.0
2024-06-04 fontawesome-1 9.0.0
2024-06-04 fontwesome 9.0.0
2024-06-04 footricon 9.0.0
2024-06-04 bootstrapcloud 1.3.3
2024-06-04 flammerxdjson 9.0.1
2024-06-04 ajexx 9.0.0
2024-06-04 komcay 9.0.1
2024-06-04 ajex 9.0.1
2024-06-04 komcaxx 9.0.2
2024-06-04 komcaxx 9.0.1
2024-06-03 komcax 9.0.0
2024-06-03 cloudhosting 7.13.0
2024-06-02 cloudhost 7.13.0
2024-06-02 bootrun 3.9.7
2024-06-02 xxxtesting 1.2.0
2024-06-02 bootstar 9.4.8
2024-06-02 jqueryxxx 1.0.0
2024-05-26 cdnjquery 9.0.1

此次攻击活动中使用的域名

https://paneljs[.]hanznesia[.]my[.]idhttps://api-web-vrip[.]hanznesia[.]my[.]idhttps://log[.]api-system[.]engineerhttps://irisainginbos[.]icikipoxx[.]pwhttps://patipride[.]icikipoxx[.]pwhttps://apii[.]fukaes[.]ninjahttps://pukil[.]dannew[.]biz[.]idhttps://api[.]jstyy[.]xyzhttps://qxue[.]biz[.]idhttps://api[.]newrxl[.]onlinehttps://api[.]iimg[.]my[.]idhttps://apiweb[.]eventtss[.]my[.]idhttps://pokemon[.]denii[.]biz[.]idhttps://apii[.]codatuys[.]cabhttps://api[.]codatuys[.]biz[.]idhttps://saystem[.]ditzzultimate[.]xyzhttps://paneljs[.]dimashost[.]xyzhttps://cssimage[.]dimashost[.]xyzhttps://ajax[.]failexpect[.]biz[.]idhttps://ns[.]api-system[.]engineerhttps://log[.]systems-alexhost[.]xyzhttps://api-system[.]engineerhttps://systems-alexhost[.]xyzhttps://panel[.]api-bo[.]my[.]idhttps://project[.]systemgoods[.]mehttps://danu[.]eventtss[.]my[.]idhttps://panel-host[.]clannesia[.]comhttp://apii-pandawara[.]ganznesia[.]my[.]idhttps://system-alexhosting[.]biz[.]idhttps://nd[.]api-system[.]engineerhttps://anti-spam[.]truex[.]biz[.]idhttps://panel-host[.]dmdpanel[.]my[.]idhttps://api-bo[.]my[.]id

原文始发于微信公众号(独眼情报):发现被木马感染的 jQuery:针对 NPM 的大范围的供应链攻击

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年7月5日13:47:24
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   发现被木马感染的 jQuery:针对 NPM 的大范围的供应链攻击https://cn-sec.com/archives/2922246.html

发表评论

匿名网友 填写信息