恶意 AWS 软件包通过 JPEG 传播恶意软件

Phylum 研究团队最近发现了一次针对使用 npm 软件包注册表的开发人员的复杂网络攻击。2024 年 7 月 13 日，研究人员发现了两个看似合法的软件包，它们是现有库的克隆，隐藏在 JPEG 图像文件中的恶意代码。

欺骗性的 npm 软件包（例如img-aws-s3-object-multipart-copy ）模仿了 GitHub 上的aws-s3-object-multipart-copy等正版库 。这些恶意版本经过巧妙修改，包含在软件包安装期间执行有害代码的隐藏脚本。

logo1.jpg

在包中显示为logo2.jpg

看起来像是logo3.jpg在包中。这里进行了修改，因为文件已损坏，在某些情况下无法正确显示。

在分析这些包中的loadformat.js脚本后，Phylum 团队发现了一个看似无害的图像分析程序。该脚本读取图像文件的每个字节，并将特定字节值转换为字符，然后将其附加到名为analyzepixels的变量中。

该脚本定义了两个函数，imagebyte和analyzePixels。如果将变量convertertree设置为 true（如果图像包含超过 2,000 个有效字节，则触发），则将imagebyte设置为analyzepixels，从而有效地执行从图像文件中提取的隐藏脚本。此执行可以向 cloudconvert.com 发送空的 POST 请求或启动恶意代码。

在这种情况下，嵌入的命令会与远程命令和控制 (C2) 服务器建立连接。受感染的机器随后会变成傀儡，等待攻击者的进一步指令。

JPEG 本身是 C2 通信的关键，每个图像都包含一组不同的命令。这种隐秘的方法使攻击者能够控制受感染的系统，可能执行任意代码并泄露敏感数据。

这些恶意软件包在被报告和删除之前，在 npm 注册表中存在了近两天。开发人员和安全组织必须保持警惕，并对他们使用的开源库实施强大的监控和验证流程。

Phylum 研究团队详细分析：

https://blog.phylum.io/fake-aws-packages-ship-command-and-control-malware-in-jpeg-files/

原文始发于微信公众号（独眼情报）：恶意 AWS 软件包通过 JPEG 传播恶意软件