聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
Phylum 公司的研究人员在上周发布的分析报告中提到,这些包试图“通过在根用户的 authorized_keys 文件中写入攻击者的SSH公钥,获得对受害者设备的SSH访问权限。”
这些恶意包的目的是模拟合法的 ethers 包,如下:
-
ethers-mew(62次下载)
-
ethers-web3 (110次下载)
-
ethers-6(56次下载)
-
ethers-eth(58次下载)
-
ethers-aaa(781次下载)
-
ethers-audit (69次下载)
-
ethers-test(336次下载)
其中一些包(多数由账户名为 “crstianokavic” 和 “timyorks” 发布)被指是为了进行测试,因为它们内含最少得变化。最新和最完整的包是 ethers-mew。这并非npm注册表中首次出现具有类似功能的恶意包。2023年8月,Phylum 公司详述了名为 “ethereum-cryptographyy” 的包,它伪装成一个热门密币库,将用户私钥通过引入恶意依赖进行提取。而最新的攻击方式略有不同,恶意代码被直接嵌入这些包中,使威胁行动者将以太坊私钥嗅探到受控制的域 “ether-sign[.]com” 中。而这种攻击的隐秘之处在于,它要求开发人员在代码中真实使用该包,如使用导入的包创建新的钱包实例。
另外,ethers-mew 包还能够修改 "/root/.ssh/authorized_keys" 文件,增加受攻击者控制的SSH密钥并使它们能够永久远程访问受陷的主机。研究人员表示,“所有这些程序包,加上作者的账户,只持续了非常短暂的时间,似乎是由作者移除了。”
原文始发于微信公众号(代码卫士):NPM恶意包利用SSH后门攻击开发人员的以太坊钱包
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论