网络安全研究人员发现了一些发布到 npm 注册表的可疑包,这些包旨在收集以太坊私钥并通过安全外壳 (SSH) 协议远程访问机器。
软件供应链安全公司 Phylum 在上周发布的一份分析中表示,这些软件包试图“通过将攻击者的 SSH 公钥写入 root 用户的 authorized_keys 文件中来获得对受害者机器的 SSH 访问权限”。
旨在模拟合法 ethers 包的包列表,被标识为活动的一部分,如下所示:
-
ethers-mew -
ethers-web3 -
醚-6 -
ETHERS-ETH -
ETHERS-AAA -
ethers-audit -
醚测试
其中一些包,其中大部分是由名为 “crstianokavic” 和 “timyorks” 的帐户发布的,据信是为了测试目的而发布的,因为它们中的大多数都带有最小的更改。列表中最新和最完整的包是 ethers-mew。
这不是第一次在 npm 注册表中发现具有类似功能的流氓包。2023 年 8 月,Phylum 详细介绍了一个名为 ethereum-cryptographyy 的包,这是一个流行的加密货币库的拼写错误,它通过引入恶意依赖项将用户的私钥泄露到中国的服务器。
最新的攻击活动采用了一种略有不同的方法,因为恶意代码直接嵌入到程序包中,允许威胁行为者将以太坊私钥窃取到域“ether-sign[.]com“的
使这种攻击更加狡猾的是,它要求开发人员在他们的代码中实际使用该包——例如使用导入的包创建一个新的 Wallet 实例——这与通常观察到的情况不同,只需安装包就足以触发恶意软件的执行。
此外,ethers-mew 程序包还能够修改“/root/.ssh/authorized_keys”文件,以添加攻击者拥有的 SSH 密钥,并授予他们对受感染主机的永久远程访问。
|
感谢您花时间阅读我们提供的这篇文章。我们非常重视您的时间和精力,并深知信息对您的重要性。 我们希望了解您对这篇文章的看法和感受。我们真诚地想知道您是否认为这篇文章为您带来了有价值的资讯和启示,是否有助于您的个人或职业发展。 如果您认为这篇文章对您非常有价值,并且希望获得更多的相关资讯和服务,我们愿意为您提供进一步的定制化服务。请通过填写我们提供的在线表单,与我们联系并提供您的邮箱地址或其他联系方式。我们将定期向您发送相关资讯和更新,以帮助您更好地了解我们的服务和文章内容。  |
END
原文始发于微信公众号(信息安全大事件):恶意 npm 包通过 SSH 后门以开发人员的以太坊钱包为目标
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论