黑客攻击开发者存储库

今年 7 月 7 日，npm 开发者存储库的昵称“nagasiren978”的用户发布了两个恶意软件包：“harthat-hash”和“harthat-api”，其中包含从攻击者的C2服务器安装其他恶意软件的代码。这些攻击的主要目标是基于Windows的系统。

恶意软件包中使用的方法和基础设施与与朝鲜有关的黑客组织的策略一致，微软以 MOONSTONE SLEET 的名义追踪该组织。在 最先发现 上述恶意软件包的Datadog公司内部，这个威胁集群被称为“Stressed Pungsan”。这个名字与朝鲜饲养的一种狗有关。

黑客的目标是渗透软件供应链和开发人员环境。获得必要的访问权限后，攻击者会窃取个人信息、API 和云服务访问密钥，并通过其他受害者系统进行移动。

为了应对此类威胁，Datadog 安全团队使用 GuardDog 软件为 PyPi 和 npm 开发了包扫描基础设施。在 7 月 7 日的扫描中，专家发现了两个存在可疑行为的包裹。

“harthat-hash”版本 1.3.3 和“harthat-api”版本 1.3.1 软件包使用预安装的脚本来执行然后删除“.js”文件。它们包含指向可疑域的链接，并加载使用“rundll32.exe”启动的 恶意DLL文件。

事实证明，这两个包的内容几乎相同，只是 C2 服务器链接中 id 参数的值不同。恶意代码下载了文件“Temp.b”，将其重命名为“package.db”，并通过“rundll32.exe”执行。执行后，脚本被删除，“package.json”文件被“pk.json”替换，这使得检测恶意活动变得困难。

恶意包加载的DLL文件包含可疑的Windows API调用，例如用于反调试和逆向分析保护的“IsDebuggerPresent”和“GetTickCount”。然而，静态分析并未发现任何明显的恶意逻辑，这表明该 DLL 文件可能尚未完全准备好使用，或者可能已用于测试 C2 基础设施。

攻击者使用流行的“node-config”存储库中的代码并添加了一些恶意修改。值得注意的是，这些软件包很快就从 npm 中删除了，不是由版主删除，而是由作者本人删除。

建议软件开发人员检查其基础设施中是否安装了“harthat-api”或“harthat-hash”软件包。如果检测到，必须立即采取措施轮换凭证、隔离应用程序并调查威胁可能的传播。

来自恶意 npm 包的威胁每天都变得越来越重要。攻击者利用伪装成合法数据包来注入恶意代码。对此类事件的快速响应有助于防止对数据安全和基础设施造成严重后果。

细节详情:

https://securitylabs.datadoghq.com/articles/stressed-pungsan-dprk-aligned-threat-actor-leverages-npm-for-initial-access/

原文始发于微信公众号（独眼情报）：黑客攻击开发者存储库